CVE-2026-40173 in dgraph
Сводка
по VulDB • 23.05.2026
Dgraph — это открытая распределенная база данных GraphQL. Версии 25.3.1 и более ранние содержат уязвимость раскрытия учетных данных, не требующую аутентификации, при которой конечная точка /debug/pprof/cmdline регистрируется в маршрутизаторе по умолчанию (default mux) и доступна без аутентификации, что приводит к раскрытию полной командной строки процесса, включая токен администратора, настроенный через флаг запуска --security "token=...". Злоумышленник может получить утеченный токен и использовать его в заголовке X-Dgraph-AuthToken для получения несанкционированного доступа к конечным точкам, доступным только администраторам, таким как /admin/config/cache_mb, обходя проверку токена в adminAuthHandler. Это позволяет получать несанкционированный привилегированный административный доступ, включая внесение изменений в конфигурацию и выполнение действий по управлению операционной деятельностью, в любой среде развертывания, где порт HTTP Alpha доступен для недоверенных сторон. Эта проблема исправлена в версии 25.3.2.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.