CVE-2026-34976 in dgraphinformação

Sumário

de VulDB • 12/05/2026

Dgraph é um banco de dados GraphQL distribuído de código aberto. Antes da versão 25.3.1, a mutação administrativa restoreTenant não estava incluída na configuração do middleware de autorização (admin.go), tornando-a completamente não autenticada. Ao contrário da mutação restore semelhante, que exige autenticação Guardian-of-Galaxy, a restoreTenant é executada sem nenhum middleware. Esta mutação aceita URLs de origem de backup controladas pelo atacante (incluindo file:// para acesso ao sistema de arquivos local), credenciais S3/MinIO, caminhos para arquivos de chave de criptografia e caminhos para arquivos de credenciais do Vault. Um atacante não autenticado pode sobrescrever todo o banco de dados, ler arquivos do lado do servidor e realizar SSRF. Esta vulnerabilidade foi corrigida na versão 25.3.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

31/03/2026

Divulgação

06/04/2026

Moderação

aceite

Entrada

VDB-355573

CPE

pronto

EPSS

0.00452

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!