CVE-2026-41327 in dgraph
요약
\~에 의해 VulDB • 2026. 05. 30.
Dgraph는 오픈 소스 분산 GraphQL 데이터베이스입니다. 버전 25.3.3 이전의 Dgraph에서는 인증되지 않은 공격자가 데이터베이스 내의 모든 데이터에 대한 전체 읽기 권한을 획득할 수 있는 취약점이 발견되었습니다. 이 취약점은 ACL이 활성화되지 않은 Dgraph의 기본 구성에서 영향을 미칩니다. 공격은 upsert mutation에서 조작된 cond 필드를 포함하는 /mutate?commitNow=true로 전송되는 단일 HTTP POST 요청으로 구성됩니다. cond 값은 strings.Replace를 통한 외관상의 변환만 거친 후 strings.Builder.WriteString를 통해 DQL 쿼리 문자열에 직접 연결됩니다. 이스케이프 처리, 파라미터화 또는 구조적 유효성 검사는 적용되지 않습니다. 공격자는 cond 문자열에 추가적인 DQL 쿼리 블록을 삽입하며, 이는 DQL 파서가 구문적으로 유효한 이름 지정 쿼리 블록으로 받아들입니다. 삽입된 쿼리는 서버 측에서 실행되며 그 결과는 HTTP 응답으로 반환됩니다. 이 취약점은 25.3.3에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.