CVE-2026-34976 in dgraph情報

要約

〜によって VulDB • 2026年06月05日

Dgraph はオープンソースの分散 GraphQL データベースです。バージョン 25.3.1 より前では、restoreTenant 管理者用ミューテーションが認可ミドルウェア設定 (admin.go) から欠落しており、完全に認証なしで実行可能でした。同様の restore ミューテーションには Guardian-of-Galaxy による認証が必要ですが、restoreTenant はゼロのミドルウェアで実行されます。このミューテーションは攻撃者が制御するバックアップソース URL(ローカルファイルシステムアクセス用の file:// を含む)、S3/MinIO の資格情報、暗号化キーファイルパス、Vault 資格情報ファイルパスを受け入れます。認証されていない攻撃者はデータベース全体を上書きしたり、サーバー側のファイルを読み取ったり、SSRF (Server-Side Request Forgery) を実行したりできます。この脆弱性はバージョン 25.3.1 で修正されました。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年03月31日

モデレーション

承諾済み

エントリ

VDB-355573

EPSS

0.00452

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!