CVE-2026-41492: Krytyczna luka w bazie Dgraph umożliwiająca dostęp do tokena administratora

Krytyczna luka w Dgraph umożliwia kradzież tokena admina przez /debug/vars. Zalecana szybka aktualizacja do wersji 25.3.3 i ograniczenie dostępu.
CVE-2026-41492CVSS 9.8General

CVE-2026-41492: Krytyczna luka w bazie Dgraph umożliwiająca dostęp do tokena administratora

Krytyczna luka w Dgraph umożliwia kradzież tokena admina przez /debug/vars. Zalecana szybka aktualizacja do wersji 25.3.3 i ograniczenie dostępu.

CVSS
9.8 CRITICAL
EPSS
80.22%
Aktywnie wykorzystywana
brak w KEV
Produkt
dgraph

Co wiadomo

Dgraph, rozproszona baza GraphQL, przed wersją 25.3.3 ujawniała linię poleceń procesu przez niezabezpieczony endpoint /debug/vars. Pozwalało to nieautoryzowanym atakującym na pozyskanie tokena administratora i dostęp do chronionych zasobów.

Wpływ biznesowy

Luka o krytycznej ocenie CVSS 9.8 umożliwia przejęcie tokena administratora, co może prowadzić do pełnej kontroli nad bazą danych i narażenia poufnych danych. Operatorzy powinni traktować tę podatność jako priorytetową, ponieważ atakujący może uzyskać dostęp do funkcji administracyjnych bez uwierzytelnienia.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Dgraph do wersji 25.3.3 lub nowszej, w której luka została załatana. W międzyczasie warto ograniczyć dostęp do endpointów debugowania, monitorować logi pod kątem podejrzanych żądań oraz przeglądnąć konfigurację uruchomieniową pod kątem ujawniania tokenów. Priorytetowo traktować wdrożenie poprawek i minimalizację ekspozycji.

Źródła