Plateforme
go
Composant
dgraph
Corrigé dans
25.3.3
25.3.2
CVE-2026-40173 is a critical vulnerability affecting Dgraph Alpha versions 25.3.1 and earlier. It involves an unauthenticated debug endpoint that inadvertently exposes the Dgraph Alpha process command line, including the configured admin token. This leakage allows attackers to gain unauthorized administrative access, potentially leading to complete control of the Dgraph instance. A fix is available in version 25.3.2.
La vulnérabilité CVE-2026-40173 dans Dgraph Alpha expose un point de terminaison de débogage non authentifié qui révèle la ligne de commande complète du processus, y compris le jeton d'administrateur configuré via --security "token=...". Bien que cette vulnérabilité ne brise pas directement la logique de validation du jeton, elle divulgue la credential et permet un accès non autorisé au niveau administrateur en réutilisant le jeton divulgué dans l'en-tête X-Dgraph-AuthToken`. Le risque est élevé, en particulier dans les environnements où la sécurité du jeton d'administrateur est primordiale. L'exposition de la ligne de commande complète peut faciliter la compréhension de la configuration du système, ce qui pourrait entraîner d'autres vulnérabilités.
Un attaquant peut exploiter cette vulnérabilité en envoyant une requête HTTP au point de terminaison de débogage de Dgraph Alpha. Étant donné que l'API ne nécessite pas d'authentification, toute personne ayant un accès réseau à l'instance Dgraph Alpha peut accéder aux informations. Une fois que l'attaquant a obtenu le jeton d'administrateur, il peut l'utiliser pour effectuer toute action sur le graphe, y compris la lecture, la modification et la suppression de données, ainsi que la configuration du système. L'exploitation est relativement simple et ne nécessite pas de compétences techniques avancées.
Organizations utilizing Dgraph Alpha in production environments, particularly those relying on the admin token for access control, are at significant risk. Deployments with default configurations or those that have not implemented robust security practices are especially vulnerable. Shared hosting environments where multiple users share a Dgraph instance are also at increased risk.
• linux / server:
journalctl -u dgraph -g "debug endpoint"• generic web:
curl -I http://<dgraph_alpha_ip>:8080/_debug/ | grep -i "X-Dgraph-AuthToken"disclosure
Statut de l'Exploit
EPSS
0.12% (percentile 32%)
CISA SSVC
Vecteur CVSS
L'atténuation principale consiste à mettre à niveau Dgraph Alpha vers la version 25.3.2 ou supérieure. Cette version corrige la vulnérabilité en supprimant l'accès public à l'API de débogage. En outre, il est recommandé de revoir et de restreindre les permissions du jeton d'administrateur. Il est également essentiel d'auditer régulièrement la configuration de sécurité de Dgraph Alpha et de surveiller les journaux à la recherche d'activités suspectes. Désactiver l'API de débogage dans les environnements de production est une pratique de sécurité recommandée, même si elle n'est pas activement utilisée.
Actualice a la versión 25.3.2 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al eliminar el endpoint /debug/pprof/cmdline del mux predeterminado, evitando la exposición del token de administrador.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Dgraph Alpha est le composant principal de la base de données de graphes Dgraph. Il stocke et gère les données du graphe.
Le jeton d'administrateur fournit un accès complet à la base de données Dgraph, permettant d'effectuer toute opération. Sa sécurité est fondamentale.
Assurez-vous que l'API de débogage est désactivée et examinez la configuration de sécurité de votre jeton d'administrateur.
Désactiver l'API de débogage est une atténuation temporaire, mais la mise à niveau vers la version 25.3.2 est la solution recommandée.
L'API de débogage se trouve généralement au chemin /debug de l'instance Dgraph Alpha.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.