CRITICALCVE-2026-40173CVSS 9.4

Dgraph: 認証されていない/debug/pprof/cmdlineは管理者認証トークンを公開し、保護されたAlpha管理者エンドポイントへの不正アクセスを可能にする

Q: CVE-2026-40173 とは何ですか？（Dgraph）

Dgraph Alpha は、Dgraph グラフデータベースの中核となるコンポーネントです。グラフデータを格納および管理します。

Q: Dgraph の CVE-2026-40173 による影響を受けていますか？

管理者トークンは、Dgraph データベースへの完全なアクセスを提供し、任意の操作を実行できます。そのセキュリティは非常に重要です。

Q: Dgraph の CVE-2026-40173 を修正するにはどうすればよいですか？

デバッグ API を無効にし、管理者トークンのセキュリティ構成を確認してください。

Q: CVE-2026-40173 は積極的に悪用されていますか？

デバッグ API を無効にすることは一時的な軽減策ですが、バージョン 25.3.2 にアップグレードすることが推奨される解決策です。

Q: CVE-2026-40173 に関する Dgraph の公式アドバイザリはどこで確認できますか？

デバッグ API は通常、Dgraph Alpha インスタンスの `/debug` パスにあります。

プラットフォーム

コンポーネント

dgraph

修正版

25.3.3

25.3.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

Dgraph Alpha において、認証なしのデバッグエンドポイントにアクセスすることで、プロセスコマンドライン全体が公開される脆弱性が存在します。この情報には、--security "token=..." で設定された管理トークンが含まれており、攻撃者はこのトークンを X-Dgraph-AuthToken ヘッダーに含めることで管理者権限を不正に取得する可能性があります。影響を受けるバージョンは 25.3.1 より前で、25.3.2 で修正されました。

影響と攻撃シナリオ

CVE-2026-40173 は、Dgraph Alpha に存在する認証されていないデバッグエンドポイントであり、フルプロセスコマンドラインを公開します。これには、--security "token=..." から設定された管理者トークンが含まれます。この脆弱性は、トークン検証ロジックを直接破るものではありませんが、管理者トークンを漏洩させ、X-Dgraph-AuthToken ヘッダーで漏洩したトークンを再利用することで、不正な管理者レベルへのアクセスを可能にします。リスクは高く、特に管理者トークンのセキュリティが最優先事項となる環境では、そのリスクは大きいです。フルコマンドラインの公開は、システム構成の理解を容易にし、他の脆弱性につながる可能性があります。

悪用の状況

攻撃者は、Dgraph Alpha デバッグ API に HTTP リクエストを送信することでこの脆弱性を悪用できます。API は認証を必要としないため、Dgraph Alpha インスタンスへのネットワークアクセス権を持つ人は誰でも情報を取得できます。攻撃者が管理者トークンを取得すると、グラフ上の任意の操作（データの読み取り、変更、削除、およびシステムの構成など）を実行できます。悪用は比較的簡単で、高度な技術スキルは必要ありません。

リスク対象者翻訳中…

Organizations utilizing Dgraph Alpha in production environments, particularly those relying on the admin token for access control, are at significant risk. Deployments with default configurations or those that have not implemented robust security practices are especially vulnerable. Shared hosting environments where multiple users share a Dgraph instance are also at increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u dgraph -g "debug endpoint"

• generic web:

curl -I http://<dgraph_alpha_ip>:8080/_debug/ | grep -i "X-Dgraph-AuthToken"

攻撃タイムライン

2026-04-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.12% (32% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントdgraph

ベンダーdgraph-io

影響範囲修正版

< 25.3.2 – < 25.3.225.3.3

—25.3.2

弱点分類 (CWE)

CWE-200 CWE-215

タイムライン

予約済み2026-04-09
公開日2026-04-15
更新日2026-04-16
EPSS 更新日2026-04-23

緩和策と回避策

主な軽減策は、Dgraph Alpha をバージョン 25.3.2 以降にアップグレードすることです。このバージョンは、デバッグ API へのパブリックアクセスを削除することで脆弱性を修正します。追加の予防措置として、管理者トークンの権限を確認し、制限してください。Dgraph Alpha のセキュリティ構成を定期的に監査し、疑わしいアクティビティがないかログを監視することも重要です。デバッグ API を本番環境で無効にすることは、積極的に使用されていない場合でも推奨されるセキュリティプラクティスです。

修正方法翻訳中…

Actualice a la versión 25.3.2 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al eliminar el endpoint /debug/pprof/cmdline del mux predeterminado, evitando la exposición del token de administrador.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40173 とは何ですか？（Dgraph）