【中危漏洞】CVE-2026-1173:birkir prime GraphQL 组件拒绝服务漏洞
漏洞概述
近日,安全研究人员披露了一个影响 birkir prime 项目(版本最高至 0.4.0.beta.0)的拒绝服务(DoS)漏洞。该漏洞存在于其 GraphQL 组件中的“Array Based Query Batch Handler”功能,攻击者可通过远程发送特制请求触发服务异常,导致可用性受损。目前该漏洞的利用代码已公开,且项目维护方尚未对此问题作出响应。
漏洞详情
- CVE 编号:CVE-2026-1173
- 漏洞类型:CWE-404(不恰当的资源释放)
- CVSS 评分:CVSS v3.1 基础评分为 5.3(中危),CVSS v4.0 基础评分为 5.5(中危)
- 影响版本:birkir prime ≤ 0.4.0.beta.0
影响范围
该漏洞影响使用 birkir prime 项目中 GraphQL 功能的系统,特别是启用了“Array Based Query Batch Handler”组件的部署环境。受影响版本为 0.4.0.beta.0 及之前的所有版本。
风险分析
由于该漏洞可通过网络远程触发,且无需身份认证或用户交互,攻击者可构造恶意 GraphQL 请求,导致服务资源耗尽或进程崩溃,从而造成拒绝服务。虽然不会直接导致信息泄露或远程代码执行,但可能严重影响业务连续性和系统可用性。
修复建议
- 建议用户密切关注 birkir/prime 项目的官方 GitHub 仓库(Issue #544),等待官方发布修复补丁。
- 在官方修复前,如非必要,建议临时禁用 GraphQL 的批处理查询功能,或通过 Web 应用防火墙(WAF)限制异常批量请求,以降低被攻击风险。
