Platform
go
Component
dgraph
Opgelost in
25.3.3
25.3.2
CVE-2026-40173 is a critical vulnerability affecting Dgraph Alpha versions 25.3.1 and earlier. It involves an unauthenticated debug endpoint that inadvertently exposes the Dgraph Alpha process command line, including the configured admin token. This leakage allows attackers to gain unauthorized administrative access, potentially leading to complete control of the Dgraph instance. A fix is available in version 25.3.2.
CVE-2026-40173 in Dgraph Alpha exposeert een niet-geauthenticeerd debug endpoint dat de volledige commando-regel van het proces onthult, inclusief de geconfigureerde admin token van --security "token=...". Hoewel deze kwetsbaarheid de token-validatielogica niet direct doorbreekt, onthult het de inloggegevens en maakt het ongeautoriseerde toegang op admin-niveau mogelijk door het gelekte token opnieuw te gebruiken in de X-Dgraph-AuthToken` header. Het risico is aanzienlijk, vooral in omgevingen waar de beveiliging van het admin-token van cruciaal belang is. De blootstelling van de volledige commando-regel kan het begrip van de systeemconfiguratie vergemakkelijken, wat mogelijk tot andere kwetsbaarheden kan leiden.
Een aanvaller kan deze kwetsbaarheid exploiteren door een HTTP-verzoek te sturen naar de Dgraph Alpha debug API. Omdat de API geen authenticatie vereist, kan iedereen met netwerktoegang tot de Dgraph Alpha-instantie toegang krijgen tot de informatie. Zodra de aanvaller de admin-token heeft verkregen, kan deze deze gebruiken om elke actie op de graaf uit te voeren, inclusief het lezen, wijzigen en verwijderen van gegevens, evenals het configureren van het systeem. Exploitatie is relatief eenvoudig en vereist geen geavanceerde technische vaardigheden.
Organizations utilizing Dgraph Alpha in production environments, particularly those relying on the admin token for access control, are at significant risk. Deployments with default configurations or those that have not implemented robust security practices are especially vulnerable. Shared hosting environments where multiple users share a Dgraph instance are also at increased risk.
• linux / server:
journalctl -u dgraph -g "debug endpoint"• generic web:
curl -I http://<dgraph_alpha_ip>:8080/_debug/ | grep -i "X-Dgraph-AuthToken"disclosure
Exploit Status
EPSS
0.12% (32% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie is het upgraden van Dgraph Alpha naar versie 25.3.2 of hoger. Deze versie pakt de kwetsbaarheid aan door de openbare toegang tot de debug API te verwijderen. Als extra voorzorgsmaatregel dient u de rechten van het admin-token te controleren en te beperken. Het is ook cruciaal om regelmatig de beveiligingsconfiguraties van Dgraph Alpha te auditeren en de logboeken te controleren op verdachte activiteiten. Het uitschakelen van de debug API in productieomgevingen is een aanbevolen beveiligingspraktijk, zelfs als deze niet actief wordt gebruikt.
Actualice a la versión 25.3.2 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al eliminar el endpoint /debug/pprof/cmdline del mux predeterminado, evitando la exposición del token de administrador.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Dgraph Alpha is de kerncomponent van de Dgraph-graphdatabase. Het slaat en beheert de graphgegevens op.
De admin-token biedt volledige toegang tot de Dgraph-database en maakt het mogelijk om elke operatie uit te voeren. De beveiliging ervan is van cruciaal belang.
Zorg ervoor dat de debug API is uitgeschakeld en controleer de beveiligingsinstellingen van uw admin-token.
Het uitschakelen van de debug API is een tijdelijke mitigatie, maar het upgraden naar versie 25.3.2 is de aanbevolen oplossing.
De debug API bevindt zich meestal op het pad /debug van de Dgraph Alpha-instantie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.