文章总结： Dgraph数据库存在高危漏洞CVE-2026-40173（CVSS9.4），其Alpha组件的调试端点/debug/pprof/cmdline默认未授权可访问，会泄露管理员令牌。攻击者可直接获取令牌并通过X-Dgraph-AuthToken标头获得数据库完全控制权，影响v25.3.1及之前版本。官方已在v25.3.2中修复该漏洞，建议用户立即升级。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,云安全,数据安全

Dgraph 的调试端点会将管理员令牌交给任何人

sec随谈 sec随谈

sec随谈

2026年4月20日 08:49 北京

在小说阅读器读本章

去阅读

Dgraph 是一款水平可扩展的分布式 GraphQL 数据库，以其 ACID 事务和卓越的图后端性能而闻名，但如今却面临着严峻的安全挑战。最近披露的一个严重漏洞（编号为CVE-2026-40173）暴露了一个“明文”漏洞，未经身份验证的攻击者可以利用该漏洞获取数据库的管理控制权。

该漏洞的CVSS 评分为 9.4，反映出它对数据库 HTTP 接口暴露在可信边界之外的部署构成严重风险。

问题的核心在于 Dgraph Alpha 的默认配置存在疏忽。一个核心调试端点——/debug/pprof/cmdline——被发现无需任何身份验证即可访问。

虽然调试端点在开发中很常见，但这条特定的路由“暴露了完整的进程命令行，包括通过 --security 'token=…' 配置的管理员令牌”。这意味着任何拥有 Alpha HTTP 端口网络访问权限的人都可以简单地查询该端点，并以明文形式查看“绝密”的管理凭据。

利用此漏洞不需要复杂的内存损坏或高级攻击手段。相反，它遵循一条简单、合乎逻辑的凭证泄露链：

1. 攻击者访问了未经身份验证的 /debug/pprof/cmdline 路由。
2. 输出结果显示了用于启动该进程的确切管理员令牌。
3. 然后攻击者将泄露的令牌通过 X-Dgraph-AuthToken 标头发送回服务器。
4. 服务器的 adminAuthHandler 接受了泄露的令牌，从而授予攻击者“未经授权访问仅限管理员使用的功能”。

一旦进入系统，根据部署策略，攻击者可以对所有 /admin/* 端点执行“配置更改、操作控制操作和其他特权管理操作”。

此行为并非由外部插件或配置错误导致，而是“完全发生在 Alpha 核心 HTTP 路由内部”。具体来说，dgraph/cmd/alpha/run.go 中的代码导入了 net/http/pprof，该库会自动在默认多路复用器上注册处理程序。由于系统在基础多路复用器上使用 audit.AuditRequestHttp，因此这些默认处理程序仍然可访问且公开可用。

研究人员强调，“网络限制（绑定/白名单/防火墙）可能会减少暴露，但它们并不能纠正根本的凭证泄露行为”。

运行 Dgraph 的组织应立即检查其版本号。

• 受影响版本：所有版本，包括 v25.3.1。
• 修复方案： v25.3.2版本中发布了一个补丁，可以正确地保护调试路由。

参考链接：

https://github.com/dgraph-io/dgraph/security/advisories/GHSA-95mq-xwj4-r47p

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Dgraph 的调试端点会将管理员令牌交给任何人》