Samstag · 11.07.2026 Ausgabe 3376 RSS
Nachrichten Cybersicherheit täglich
CVE-2026-41492

9,8 CRITICAL CVSS Basis-Score
Beschreibung

Die Schwachstelle betrifft die verteilte GraphQL-Datenbank Dgraph, genauer die Alpha-Knoten, die die eigentlichen Daten verwalten. Über einen nicht authentifizierten Debug-Endpunkt gibt der Dienst die vollständige Kommandozeile preis, mit der der Prozess gestartet wurde. Da das Admin-Token in der Praxis üblicherweise als Startparameter übergeben wird, taucht es in diesen ausgelesenen Startinformationen auf. Ein Angreifer benötigt weder Zugangsdaten noch eine Anmeldung: Er ruft schlicht den offenen Debug-Endpunkt ab, liest das Token heraus und übermittelt es anschließend im dafür vorgesehenen Authentifizierungs-Header. Damit gibt er sich als berechtigter Administrator aus und erhält Zugriff auf die ausschließlich Administratoren vorbehaltenen Verwaltungsfunktionen der Datenbank. Es handelt sich um eine Variante eines bereits zuvor behobenen Problems, bei dem eine andere Debug-Funktion die Kommandozeile offenlegte; die damalige Korrektur blieb unvollständig, weil sie nur die eine Funktion sperrte, während der Debug-Dienst mit dem hier missbrauchten Endpunkt weiterhin erreichbar blieb.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln