【中危漏洞】CVE-2026-1169:birkir prime 跨站请求伪造(CSRF)漏洞
漏洞概述
近日,安全研究人员在 birkir prime 项目中发现一个跨站请求伪造(Cross-Site Request Forgery, CSRF)漏洞,编号为 CVE-2026-1169。该漏洞影响 birkir prime 0.4.0.beta.0 及更早版本,攻击者可远程利用此漏洞,在用户不知情的情况下执行非预期操作,从而破坏应用的完整性。
漏洞详情
- CVE 编号:CVE-2026-1169
- 漏洞类型:跨站请求伪造(CWE-352、CWE-862)
- CVSS 评分:CVSS v3.1 基础分 4.3(中危),CVSS v4.0 基础分 5.3(中危)
- 影响版本:birkir prime ≤ 0.4.0.beta.0
影响范围
该漏洞影响所有使用 birkir prime 0.4.0.beta.0 及之前版本的系统或应用。由于项目尚未对相关问题作出响应,目前所有部署该版本的实例均可能面临风险。
风险分析
攻击者可构造恶意网页或链接,诱导已认证用户在不知情的情况下向目标应用发起非预期的请求(如修改配置、提交表单等)。由于漏洞利用仅需用户交互(如点击链接),且无需身份验证,因此具备一定可利用性。虽然当前未造成机密性或可用性影响,但可能导致数据完整性受损,例如非授权操作被执行。
修复建议
- 建议开发者密切关注 birkir/prime 官方 GitHub 仓库(Issue #547),等待官方发布安全补丁。
- 在官方修复前,建议临时采取以下缓解措施:
- 为所有敏感操作添加 CSRF Token 验证;
- 设置 SameSite 属性为 Strict 或 Lax 的 Cookie 策略;
- 对关键接口实施二次确认或验证码机制。
