CVE-2026-40173

Name of the Vulnerable Software and Affected Versions Dgraph versões anteriores a 25.3.2

Description Existe uma divulgação de credenciais não autenticada onde o endpoint '/debug/pprof/cmdline' está registrado no mux padrão e acessível sem autenticação. Isso expõe a linha de comando completa do processo, incluindo o token de administrador configurado via flag de inicialização --security "token=...". Um invasor pode recuperar esse token e utilizá-lo no cabeçalho X-Dgraph-AuthToken para ignorar a validação de token da função adminAuthHandler() e obter acesso administrativo privilegiado não autorizado a endpoints como '/admin/config/cache mb'. Isso permite alterações de configuração não autorizadas e ações de controle operacional se a porta HTTP Alpha estiver acessível por partes não confiáveis.

Recommendations Atualizar para a versão 25.3.2.