つみかさね

CVE-2026-41492

Critical(9.8)

CVE-2026-41492 — Dgraph デバッグエンドポイント経由の管理トークン漏洩

公開日: 2026-04-26データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Dgraphdgraph-io< 25.3.3

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1Dgraphのバージョンを確認する
  2. 225.3.3未満の場合は即座にアップデートする
  3. 3Alpha HTTPポートが外部に公開されていないか確認する
  4. 4管理トークンの漏洩がなかったかログを確認し、必要に応じてトークンをローテーションする

影響対象

Dgraph利用者

補足

  • -本日はDgraphに関する4件のCritical脆弱性が報告されており、一括での対応を推奨
CVEDgraph情報漏洩GraphQL

概要

オープンソース分散GraphQLデータベース「Dgraph」のバージョン25.3.3未満に、認証不要の管理トークン漏洩脆弱性が存在します。

Alphaの /debug/vars エンドポイントが認証なしでプロセスコマンドラインを公開しています。管理トークンが --security "token=..." 起動フラグで提供されている場合、未認証の攻撃者がそのトークンを取得し、X-Dgraph-AuthToken ヘッダで再利用してadmin専用エンドポイントにアクセスできます。

これは以前修正された /debug/pprof/cmdline の問題の変種ですが、現在の修正は /debug/pprof/cmdline のみをブロックしており、expvar/debug/vars ハンドラは引き続きアクセス可能です。

CVSSベクトル

指標
CVSSスコア9.8(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベルなし
CWECWE-200(情報漏洩)

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
Dgraphdgraph-io25.3.3未満25.3.3

修正バージョンと回避策

  • 修正: Dgraph 25.3.3以降へアップデート
  • 回避策: Alpha HTTPポートへの外部アクセスを制限し、デバッグエンドポイントをネットワーク境界で遮断

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-40173Dgraph /debug/pprof/cmdline経由トークン漏洩CVSS 9.4CVE-2026-41327Dgraph DQLインジェクション(Upsert Condition)CVSS 9.1CVE-2026-41328Dgraph DQLインジェクション(NQuad Lang)CVSS 9.1

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41492
GHSA:https://github.com/dgraph-io/dgraph/security/advisories/GHSA-vvf7-6rmr-m29q
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。