CVE-2026-34976 in dgraph
요약
\~에 의해 VulDB • 2026. 06. 01.
Dgraph는 오픈 소스 분산 GraphQL 데이터베이스입니다. 25.3.1 버전 이전에서는 admin.go의 인증 미들웨어 구성에서 restoreTenant 관리자 뮤테이션이 누락되어 완전히 비인증 상태로 실행되었습니다. Guardian-of-Galaxy 인증이 필요한 유사한 restore 뮤테이션과 달리, restoreTenant는 미들웨어 없이 실행됩니다. 이 뮤테이션은 공격자가 제어하는 백업 소스 URL(로컬 파일 시스템 접근을 위한 file:// 포함), S3/MinIO 자격 증명, 암호화 키 파일 경로 및 Vault 자격 증명 파일 경로를 허용합니다. 비인증 공격자는 전체 데이터베이스를 덮어쓰고, 서버 측 파일을 읽으며, SSRF를 수행할 수 있습니다. 이 취약점은 25.3.1에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.