Dgraph — это распределенная база данных GraphQL с открытым исходным кодом. До 25.3.1, мутация админа восстановленияTenant отсутствует в авт…
Dgraph — это распределенная база данных GraphQL с открытым исходным кодом. До 25.3.1, мутация админа восстановленияTenant отсутствует в авторизационной промежуточной конфигурации (admin.go), что делает ее полностью неаутентифицированной. В отличие от аналогичной мутации восстановления, которая требует аутентификации Guardian-of-Galaxy, восстановлениеTenant выполняет с нулевым промежуточным программным обеспечением. Эта мутация принимает контролируемые злоубойка серверами резервного копирования URL-адреса (включая файл:// для доступа к локальной файловой системе), учетные данные S3/MinIO, пути шифрования ключевых файлов и пути учетных данных Vault. Неаутентифицированный злоумышленник может перезаписать всю базу данных, прочитать файлы на стороне сервера и выполнить SSRF. Эта уязвимость зафиксирована в пункте 25.3.1.
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →