【中危漏洞】CVE-2026-1194:MineAdmin Swagger 组件信息泄露漏洞
漏洞概述
近日,安全研究人员披露了 MineAdmin 1.x/2.x 版本中存在的一个安全漏洞(CVE-2026-1194)。该漏洞存在于其 Swagger 组件的某个未知功能中,攻击者可远程利用该漏洞导致敏感信息泄露。目前,该漏洞的利用代码已公开,存在被广泛攻击的风险。尽管漏洞披露方已提前联系厂商,但截至目前未收到任何回应。
漏洞详情
- CVE 编号:CVE-2026-1194
- 漏洞类型:信息泄露(CWE-200)、权限控制不当(CWE-284)
- CVSS 评分:CVSS v3.1 基础评分为 5.3(中危),CVSS v4.0 基础评分为 5.5(中危)
- 影响版本:MineAdmin 1.x 和 2.x
影响范围
该漏洞影响所有使用 MineAdmin 1.x 和 2.x 版本的系统,尤其是启用了 Swagger 接口文档功能的部署环境。由于漏洞可通过网络远程触发,无需身份认证或用户交互,因此暴露在公网的实例风险较高。
风险分析
攻击者可利用该漏洞从远程获取系统中的敏感信息,例如 API 接口结构、内部路径、参数格式等,这些信息可能被用于进一步的攻击(如权限绕过、业务逻辑滥用等)。虽然当前未造成直接的代码执行或数据篡改,但信息泄露本身可能显著降低攻击门槛,扩大攻击面。
修复建议
- 建议用户尽快关注 MineAdmin 官方发布的安全更新或补丁,并升级至不受影响的版本。
- 在官方修复前,若非必要,建议临时禁用或限制对 Swagger 接口的公网访问,例如通过防火墙规则或 Web 应用防火墙(WAF)进行 IP 白名单控制。
