Plataforma
go
Componente
dgraph
Corrigido em
25.3.3
25.3.2
A vulnerabilidade CVE-2026-40173 no Dgraph Alpha permite a exposição do token de administrador através de um endpoint de debug não autenticado. Essa exposição possibilita que atacantes obtenham acesso administrativo ao sistema, comprometendo a segurança dos dados e a integridade do ambiente. A vulnerabilidade afeta as versões 25.3.1 até 25.3.2 do Dgraph Alpha, sendo crucial aplicar a correção disponível na versão 25.3.2.
A vulnerabilidade CVE-2026-40173 no Dgraph Alpha expõe um endpoint de depuração não autenticado que revela a linha de comando completa do processo, incluindo o token de administrador configurado através de --security "token=...". Embora esta vulnerabilidade não quebre diretamente a lógica de validação do token, ela expõe a credencial e permite o acesso não autorizado de nível de administrador, reutilizando o token vazado no cabeçalho X-Dgraph-AuthToken`. O risco é alto, especialmente em ambientes onde a segurança do token de administrador é crítica. A exposição da linha de comando completa pode facilitar a compreensão da configuração do sistema, o que poderia levar a outras vulnerabilidades.
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação HTTP para a API de depuração do Dgraph Alpha. Como a API não requer autenticação, qualquer pessoa com acesso de rede à instância do Dgraph Alpha pode acessar as informações. Uma vez que o atacante obtenha o token de administrador, ele pode usá-lo para realizar qualquer ação no grafo, incluindo a leitura, modificação e exclusão de dados, bem como a configuração do sistema. A exploração é relativamente simples e não requer habilidades técnicas avançadas.
Organizations utilizing Dgraph Alpha in production environments, particularly those relying on the admin token for access control, are at significant risk. Deployments with default configurations or those that have not implemented robust security practices are especially vulnerable. Shared hosting environments where multiple users share a Dgraph instance are also at increased risk.
• linux / server:
journalctl -u dgraph -g "debug endpoint"• generic web:
curl -I http://<dgraph_alpha_ip>:8080/_debug/ | grep -i "X-Dgraph-AuthToken"disclosure
Status do Exploit
EPSS
0.12% (percentil 32%)
CISA SSVC
Vetor CVSS
A principal mitigação é atualizar o Dgraph Alpha para a versão 25.3.2 ou superior. Esta versão corrige a vulnerabilidade removendo o acesso público à API de depuração. Como medida adicional, recomenda-se revisar e restringir as permissões do token de administrador. Além disso, é crucial auditar regularmente a configuração de segurança do Dgraph Alpha e monitorar os logs em busca de atividade suspeita. Desabilitar a API de depuração em ambientes de produção é uma prática de segurança recomendada, mesmo que ela não esteja sendo utilizada ativamente.
Actualice a la versión 25.3.2 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al eliminar el endpoint /debug/pprof/cmdline del mux predeterminado, evitando la exposición del token de administrador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Dgraph Alpha é o componente principal do banco de dados de grafos Dgraph. Ele armazena e gerencia os dados do grafo.
O token de administrador fornece acesso completo ao banco de dados Dgraph, permitindo que qualquer operação seja realizada. Sua segurança é fundamental.
Certifique-se de que a API de depuração esteja desabilitada e revise a configuração de segurança do seu token de administrador.
Desabilitar a API de depuração é uma mitigação temporária, mas a atualização para a versão 25.3.2 é a solução recomendada.
A API de depuração geralmente está localizada no caminho /debug da instância do Dgraph Alpha.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.