La vulnerabilidad crítica en Dgraph identificada como CVE-2026-34976 presenta un score CVSS de 10.0, la máxima puntuación posible, lo que la convierte en una de las amenazas más graves para las infraestructuras de bases de datos GraphQL distribuidas en lo que llevamos de 2026. Este fallo, ubicado en el mecanismo de autorización del motor de base de datos de código abierto Dgraph, permite a un atacante remoto sin necesidad de credenciales ejecutar una mutación administrativa crítica, pudiendo sobrescribir la base de datos completa, leer archivos sensibles del servidor y realizar ataques de Server-Side Request Forgery (SSRF).
- Severidad máxima: CVSS 10.0 (CRÍTICA), el nivel más alto de riesgo.
- Vector de ataque: Remoto, sin autenticación y sin interacción del usuario.
- Componente afectado: La mutación administrativa `restoreTenant` en Dgraph, que carece de middleware de autorización.
- Impacto principal: Pérdida de confidencialidad, integridad y disponibilidad total del sistema (C:H/I:H/A:H).
- Solución: Actualización inmediata a la versión 25.3.1 de Dgraph o superior.
- Exploit público: No confirmado en el momento de la publicación, pero la criticidad exige acción inmediata.
Qué es la vulnerabilidad crítica en Dgraph CVE-2026-34976 y cómo funciona
Analizamos en profundidad el fallo técnico CVE-2026-34976. Dgraph, una base de datos distribuida que utiliza GraphQL como lenguaje de consulta, incluye una funcionalidad administrativa para restaurar copias de seguridad de inquilinos (tenants) mediante una mutación llamada `restoreTenant`. El error reside en que esta mutación fue omitida del archivo de configuración del middleware de autorización (`admin.go`), a diferencia de su homóloga `restore`, que sí requiere la autenticación «Guardian-of-Galaxy». Esta omisión la deja completamente expuesta, sin ningún control de acceso.
El impacto de un score CVSS 10.0 en la vulnerabilidad de Dgraph
Un score CVSS (Common Vulnerability Scoring System) de 10.0 no es habitual y señala una amenaza extrema. El vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H se desglosa así: el atacante es remoto (Network), la complejidad de ataque es baja (Low), no se requiere privilegio previo (None) ni interacción del usuario (None), pero su alcance es a nivel de sistema cambiado (Changed). Esto significa que el impacto es total: confidencialidad, integridad y disponibilidad altamente comprometidas. En la práctica, un atacante puede, mediante una sola petición HTTP no autenticada, tomar el control absoluto de la instancia Dgraph.
La mutación `restoreTenant` acepta parámetros controlados por el atacante, como URLs de origen de la copia de seguridad. Aquí reside el peligro multiplicador: al permitir esquemas como `file://`, un atacante puede acceder al sistema de archivos local del servidor. Además, puede inyectar credenciales para servicios como S3/MinIO o rutas a archivos de claves de cifrado y Vault. Esto abre la puerta a tres vectores de ataque principales: la sobrescritura completa de la base de datos con datos maliciosos, la lectura arbitraria de archivos del sistema (como claves SSH o configuraciones) y la realización de ataques SSRF para sondear o atacar la red interna.
Sistemas y productos afectados por la vulnerabilidad
Esta vulnerabilidad crítica en Dgraph afecta exclusivamente a las versiones del software anteriores a la 25.3.1. Cualquier despliegue de Dgraph, ya sea en entornos on-premise, en la nube pública o en contenedores, que ejecute una versión inferior está en riesgo inminente. No hay restricciones en cuanto al sistema operativo subyacente o la arquitectura de hardware. Los entornos más críticos son aquellos donde Dgraph se utiliza como backend para aplicaciones web, APIs o servicios internos que manejan datos sensibles.
Según el aviso de seguridad oficial de GitHub, los usuarios deben verificar inmediatamente la versión de su despliegue de Dgraph. La comprobación es sencilla: consultar la versión en la interfaz administrativa o en los logs de inicio. Si la versión es v25.3.0 o cualquier anterior, el sistema es vulnerable. Dado que no se requiere autenticación, la exposición de la interfaz administrativa (generalmente en un puerto HTTP) a internet magnifica el riesgo, pero incluso en redes internas, un atacante que haya obtenido un punto de apoyo inicial podría explotar este fallo con facilidad.
Cómo verificar si tu despliegue de Dgraph está comprometido
Recomendamos a los administradores revisar los logs de acceso a la API de Dgraph en busca de peticiones POST sospechosas dirigidas al endpoint `/admin` que contengan la operación `restoreTenant`. También deben auditar cualquier cambio no autorizado reciente en los datos o en los archivos de configuración del servidor. La ausencia de un exploit público conocido no garantiza la seguridad, ya que actores avanzados podrían desarrollar y utilizar un exploit de forma silenciosa.
Cómo mitigar y parchar la vulnerabilidad en Dgraph
La mitigación definitiva y prioritaria es la actualización inminente a la versión 25.3.1 de Dgraph, donde los mantenedores del proyecto han corregido el error incluyendo la mutación `restoreTenant` en la configuración del middleware de autorización. Este parche debe aplicarse en todos los nodos de un clúster Dgraph. Para entornos en producción donde la actualización inmediata no sea viable, se pueden implementar medidas compensatorias urgentes.
La primera y más efectiva medida compensatoria es restringir el acceso de red al puerto o endpoint administrativo de Dgraph. Mediante reglas de firewall (nivel de red o host) o grupos de seguridad en la nube, se debe asegurar que solo las direcciones IP de los administradores y los sistemas de gestión autorizados puedan comunicarse con la interfaz administrativa. Nunca debe estar expuesta a internet. En segundo lugar, si la funcionalidad de restauración de inquilinos no se utiliza, se podría considerar deshabilitarla mediante la modificación del esquema GraphQL, aunque esto requiere un conocimiento técnico avanzado y no es una solución oficial.
Recomendaciones de seguridad inmediatas para administradores
Además de aplicar el parche, desde nuestro análisis de ciberinteligencia aconsejamos: 1) Rotar todas las credenciales almacenadas que pudieran haber estado accesibles desde el servidor de Dgraph (claves de S3, tokens de Vault, etc.). 2) Realizar una auditoría forense básica para descartar intrusiones previas a la aplicación del parche. 3) Revisar y fortalecer los controles de acceso a la red interna, asumiendo que un atacante podría haber obtenido acceso mediante SSRF. 4) Monitorizar de forma activa los intentos de escaneo o ataque contra el puerto administrativo de Dgraph en 2026, ya que este CVE será un objetivo claro para botnets y actores maliciosos automatizados.
La gravedad del CVE-2026-34976 subraya la importancia de mantener un inventario actualizado de software y sus dependencias, así como de suscribirse a avisos de seguridad de los proveedores. En el caso de Dgraph, el aviso oficial en GitHub es la fuente primaria y más fiable. La respuesta rápida es crucial para evitar incidentes catastróficos de pérdida o filtración de datos.
Referencias y recursos oficiales
- NVD – CVE-2026-34976 — Base de datos nacional de vulnerabilidades (NIST)
- Referencia: github.com
Recursos y fuentes oficiales:
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.