CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34976

Critical
Published: Translated: NVD NIST

Summary

Dgraph to otwartoźródłowa rozproszona baza danych GraphQL. W wersjach przed 25.3.1 brakowało autoryzacji dla mutacji restoreTenant, co umożliwiało nieautoryzowanym atakującym jej wykorzystanie do nadpisania bazy danych oraz uzyskania dostępu do plików serwera.

Risk Assessment

Organizacja jest narażona na poważne ryzyko, w tym możliwość całkowitego nadpisania bazy danych oraz wycieku wrażliwych informacji z serwera. Atakujący mogą również wykorzystać tę podatność do ataków SSRF.

Recommendation

Zaleca się aktualizację Dgraph do wersji 25.3.1 lub nowszej, aby zabezpieczyć się przed tą podatnością. Należy również przeprowadzić audyt konfiguracji zabezpieczeń oraz monitorować dostęp do bazy danych.

Original NVD description (English source)

Dgraph is an open source distributed GraphQL database. Prior to 25.3.1, the restoreTenant admin mutation is missing from the authorization middleware config (admin.go), making it completely unauthenticated. Unlike the similar restore mutation which requires Guardian-of-Galaxy authentication, restoreTenant executes with zero middleware. This mutation accepts attacker-controlled backup source URLs (including file:// for local filesystem access), S3/MinIO credentials, encryption key file paths, and Vault credential file paths. An unauthenticated attacker can overwrite the entire database, read server-side files, and perform SSRF. This vulnerability is fixed in 25.3.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS