Falha Crítica no Banco de Dados Dgraph Permitiu Bypass de Autenticação

A CVE-2026-34976 (CVSS 10.0) afeta todas as versões do Dgraph até a v25.3.0, sem patch disponível no momento. A mutação administrativa restoreTenant foi acidentalmente omitida do mapeamento do middleware de autenticação, deixando-a totalmente sem autenticação e acessível por qualquer pessoa com acesso ao endpoint de rede administrativo. A função exposta aceita URLs externas, possibilitando quatro caminhos de exploração: sobrescrita de banco de dados via arquivos de backup maliciosos, sondagem de arquivos locais via vazamento de mensagens de erro, SSRF contra serviços internos e roubo de tokens de contas de serviço do Kubernetes. Até que uma versão corrigida esteja disponível, os administradores devem bloquear imediatamente o acesso público às portas de administração do Dgraph e aplicar regras rigorosas de firewall, restringindo o endpoint administrativo apenas a redes internas confiáveis.