【中危漏洞】CVE-2026-1170:Birkir Prime GraphQL API 信息泄露漏洞
漏洞概述
近日,安全研究人员披露了一个影响 Birkir Prime 项目(版本最高至 0.4.0.beta.0)的中危信息泄露漏洞,编号为 CVE-2026-1170。该漏洞存在于其 GraphQL API 组件的 /graphql 接口处理逻辑中,攻击者可通过远程发送特制请求,导致敏感信息被非授权披露。目前,该漏洞的利用代码已公开,存在被实际攻击的风险。
漏洞详情
- CVE 编号:CVE-2026-1170
- 漏洞类型:信息泄露(CWE-200)、权限控制不当(CWE-284)
- CVSS 评分:CVSS v3.1 基础分 5.3(MEDIUM),CVSS v4.0 基础分 5.5(MEDIUM)
- 影响版本:Birkir Prime ≤ 0.4.0.beta.0
影响范围
该漏洞影响所有使用 Birkir Prime 项目且版本不高于 0.4.0.beta.0 的系统,特别是暴露了 /graphql 接口的部署实例。由于漏洞位于 GraphQL API 组件中,任何未正确配置访问控制或输入验证的部署都可能受到影响。
风险分析
攻击者可从远程发起无需身份认证、无需用户交互的请求,利用该漏洞获取本应受保护的敏感信息(如内部数据结构、用户信息或其他业务数据)。虽然该漏洞不直接导致远程代码执行或服务中断,但泄露的信息可能被用于进一步攻击,如凭证猜测、横向移动或社会工程攻击。鉴于漏洞利用代码已公开,实际攻击风险显著升高。
修复建议
- 建议用户立即关注 Birkir Prime 项目的官方 GitHub 仓库(https://github.com/birkir/prime),等待并尽快应用官方发布的安全补丁。
- 在官方修复发布前,可临时通过以下措施缓解风险:
- 限制对 /graphql 接口的网络访问(如通过防火墙或反向代理仅允许可信 IP 访问);
- 启用严格的 GraphQL 查询深度与复杂度限制;
- 实施基于角色的访问控制(RBAC),确保敏感字段仅对授权用户可见。
