【低危漏洞】CVE-2026-1196:MineAdmin 信息泄露漏洞分析
漏洞概述
近日,安全研究人员披露了 MineAdmin 1.x/2.x 版本中存在一个信息泄露漏洞(CVE-2026-1196)。攻击者可通过远程方式,利用 /system/getFileInfoById 接口中的 ID 参数操控,获取敏感信息。该漏洞利用复杂度较高,但已有公开的 PoC(概念验证)代码,存在潜在被利用风险。
漏洞详情
- CVE 编号:CVE-2026-1196
- 漏洞类型:信息泄露(CWE-200)、权限控制不当(CWE-284)
- CVSS 评分:CVSS v3.1 基础分 3.1(LOW);CVSS v4.0 基础分 2.3(LOW)
- 影响版本:MineAdmin 1.x 和 2.x
影响范围
该漏洞影响所有使用 MineAdmin 1.x 和 2.x 版本的系统,特别是未对 /system/getFileInfoById 接口进行访问控制或输入校验的部署环境。
风险分析
攻击者在具备低权限账户的前提下,可远程发送特制请求,通过操纵 ID 参数读取本不应被访问的文件信息,导致敏感数据泄露。虽然攻击复杂度高且需认证,但由于已有公开 PoC,仍建议用户及时评估风险并采取缓解措施。
修复建议
- 建议升级至官方发布的最新安全版本(若已发布);
- 如暂无补丁,应限制 /system/getFileInfoById 接口的访问权限,确保仅授权用户可调用,并对 ID 参数进行严格校验与权限绑定;
- 监控相关接口的异常访问行为,及时发现潜在攻击尝试。
