CVE-2026-41492: Уразливість у Dgraph дозволяє викрадення адміністративного токена

Уразливість CVE-2026-41492 у Dgraph дозволяє викрадення адміністративного токена через /debug/vars. Оновіть до версії 25.3.3 для захисту.
CVE-2026-41492CVSS 9.8General

CVE-2026-41492: Уразливість у Dgraph дозволяє викрадення адміністративного токена

Уразливість CVE-2026-41492 у Dgraph дозволяє викрадення адміністративного токена через /debug/vars. Оновіть до версії 25.3.3 для захисту.

CVSS
9.8 CRITICAL
EPSS
80.22%
Активно використовується
немає в KEV
Продукт
dgraph

Що відомо

У Dgraph до версії 25.3.3 існує критична уразливість, яка дозволяє неавторизованому користувачу отримати командний рядок процесу через відкритий endpoint /debug/vars. Це дає змогу викрасти адміністративний токен і отримати доступ до захищених адміністративних функцій.

Бізнес-вплив

Для власників інфраструктури, що використовує Dgraph, ця уразливість створює високий ризик компрометації адміністративних прав, що може призвести до несанкціонованого доступу та потенційного порушення цілісності даних. Вразливість має критичний рейтинг CVSS 9.8, що вказує на необхідність термінового реагування.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Dgraph до версії 25.3.3 або новішої, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до /debug/vars endpoint, переглянути журнали доступу на предмет підозрілої активності та посилити контроль за адміністративними токенами.

Джерела