CVE-2026-41492

Name of the Vulnerable Software and Affected Versions Dgraph versões anteriores a 25.3.3

Description O Dgraph expõe a linha de comando do processo através do endpoint não autenticado '/debug/vars' no Alpha. Como o token de administrador é frequentemente fornecido via flag de inicialização --security, um invasor não autenticado pode recuperar esse token e utilizá-lo no cabeçalho X-Dgraph-AuthToken para acessar endpoints exclusivos de administrador. Isso ocorre porque o sistema continua a servir o http.DefaultServeMux, que inclui o manipulador '/debug/vars' do expvar.

Recommendations Atualizar para a versão 25.3.3.