【中危漏洞】CVE-2026-1195:MineAdmin JWT Token Handler 数据真实性验证不足
漏洞概述
近日,安全研究人员披露了 MineAdmin 1.x/2.x 版本中存在的一个安全弱点,涉及 /system/refresh 路径下的 JWT Token Handler 组件。该漏洞源于对数据真实性验证不足,攻击者可远程发起攻击,尽管利用复杂度较高,但已有公开的漏洞利用代码(Proof-of-Concept),存在被实际利用的风险。
漏洞详情
- CVE 编号:CVE-2026-1195
- 漏洞类型:CWE-345(对数据真实性的验证不足)
- CVSS 评分:CVSS v3.1 评分为 5.0(中危);CVSS v4.0 评分为 2.3(低危)
- 影响版本:MineAdmin 1.x 和 2.x
影响范围
该漏洞影响使用 MineAdmin 1.x 或 2.x 版本的系统,特别是启用了 /system/refresh 接口并依赖 JWT Token Handler 进行身份验证或会话管理的部署环境。
风险分析
攻击者在具备低权限账户的前提下,可通过网络远程触发该漏洞。由于数据真实性验证不足,可能导致伪造令牌、会话劫持或绕过认证机制,进而对系统的机密性、完整性和可用性造成低级别影响(如信息泄露、数据篡改或服务中断)。虽然攻击复杂度较高,但公开的 PoC 增加了被自动化工具利用的可能性。
修复建议
- 建议用户尽快升级至 MineAdmin 官方发布的安全版本(若已发布)。
- 在官方补丁发布前,可临时限制 /system/refresh 接口的访问权限,仅允许可信 IP 或内部网络调用,并加强 JWT 令牌的签名验证逻辑,确保数据来源的真实性与完整性。
