CVE-2026-34976 in dgraph
要約
〜によって VulDB • 2026年06月05日
Dgraph はオープンソースの分散 GraphQL データベースです。バージョン 25.3.1 より前では、restoreTenant 管理者用ミューテーションが認可ミドルウェア設定 (admin.go) から欠落しており、完全に認証なしで実行可能でした。同様の restore ミューテーションには Guardian-of-Galaxy による認証が必要ですが、restoreTenant はゼロのミドルウェアで実行されます。このミューテーションは攻撃者が制御するバックアップソース URL(ローカルファイルシステムアクセス用の file:// を含む)、S3/MinIO の資格情報、暗号化キーファイルパス、Vault 資格情報ファイルパスを受け入れます。認証されていない攻撃者はデータベース全体を上書きしたり、サーバー側のファイルを読み取ったり、SSRF (Server-Side Request Forgery) を実行したりできます。この脆弱性はバージョン 25.3.1 で修正されました。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.