CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41492

Critical
Published: Translated: NVD NIST

Summary

Dgraph to otwartoźródłowa rozproszona baza danych GraphQL. W wersjach przed 25.3.3, Dgraph ujawnia linię poleceń procesu przez nieautoryzowany punkt końcowy /debug/vars na Alpha, co pozwala atakującemu na uzyskanie tokena administracyjnego.

Risk Assessment

Nieautoryzowany atakujący może wykorzystać ten token do uzyskania dostępu do punktów końcowych dostępnych tylko dla administratorów, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację Dgraph do wersji 25.3.3, aby usunąć tę podatność oraz zabezpieczyć dostęp do wrażliwych punktów końcowych.

Original NVD description (English source)

Dgraph is an open source distributed GraphQL database. Prior to 25.3.3, Dgraphl exposes the process command line through the unauthenticated /debug/vars endpoint on Alpha. Because the admin token is commonly supplied via the --security "token=..." startup flag, an unauthenticated attacker can retrieve that token and replay it in the X-Dgraph-AuthToken header to access admin-only endpoints. This is a variant of the previously fixed /debug/pprof/cmdline issue, but the current fix is incomplete because it blocks only /debug/pprof/cmdline and still serves http.DefaultServeMux, which includes expvar's /debug/vars handler. This vulnerability is fixed in 25.3.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS