CVE-2026-34976 in dgraph
Сводка
по VulDB • 05.06.2026
Dgraph — это открытая распределенная база данных GraphQL. Версии до 25.3.1 содержат уязвимость: мутация restoreTenant отсутствует в конфигурации middleware авторизации (admin.go), что делает её полностью неаутентифицированной. В отличие от аналогичной мутации restore, требующей аутентификации Guardian-of-Galaxy, restoreTenant выполняется без какого-либо middleware. Данная мутация принимает управляемые злоумышленником URL источников резервных копий (включая протокол file:// для доступа к локальной файловой системе), учетные данные S3/MinIO, пути к файлам ключей шифрования и пути к файлам учетных данных Vault. Неаутентифицированный злоумышленник может перезаписать всю базу данных, прочитать файлы на стороне сервера и выполнить SSRF-атаку. Уязвимость исправлена в версии 25.3.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.