つみかさね

CVE-2026-41327

Critical(9.1)

CVE-2026-41327 — Dgraph 認証不要DQLインジェクション(Upsert Condition)

公開日: 2026-04-26データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Dgraphdgraph-io< 25.3.3

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1Dgraphのバージョンを確認する
  2. 225.3.3未満の場合は即座にアップデートする
  3. 3ACLが有効化されているか確認する

影響対象

Dgraph利用者

補足

  • -デフォルト構成(ACL無効)で悪用可能。ACL有効化も検討してください
CVEDgraphDQLインジェクションGraphQL

概要

オープンソース分散GraphQLデータベース「Dgraph」のバージョン25.3.3未満に、認証不要でデータベース全体を窃取可能なDQLインジェクション脆弱性が存在します。ACLが有効化されていないデフォルト構成が影響を受けます。

攻撃者は /mutate?commitNow=true へのHTTP POSTリクエストで、upsertミューテーション内の cond フィールドに細工した値を送信します。cond 値は strings.Builder.WriteString 経由でDQLクエリ文字列に直接連結され、エスケープやパラメータ化、構造的検証は行われません。注入されたクエリブロックはサーバサイドで実行され、結果がHTTPレスポンスに含まれます。

CVSSベクトル

指標
CVSSスコア9.1(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベルなし
CWECWE-943(不適切なクエリ構築)

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
Dgraphdgraph-io25.3.3未満25.3.3

修正バージョンと回避策

  • 修正: Dgraph 25.3.3以降へアップデート
  • 回避策: ACLを有効化し、ミューテーションエンドポイントへのアクセスを制限

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41328Dgraph DQLインジェクション(NQuad Lang)CVSS 9.1CVE-2026-41492Dgraph /debug/vars経由トークン漏洩CVSS 9.8CVE-2026-40173Dgraph /debug/pprof/cmdline経由トークン漏洩CVSS 9.4

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41327
GHSA:https://github.com/dgraph-io/dgraph/security/advisories/GHSA-mrxx-39g5-ph77
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。