【中危漏洞】CVE-2026-1171:birkir prime GraphQL 组件拒绝服务漏洞
漏洞概述
近日,安全研究人员披露了一个影响 birkir prime 项目(版本最高至 0.4.0.beta.0)的拒绝服务(DoS)漏洞。该漏洞存在于其 GraphQL Field Handler 组件中的 /graphql 文件,攻击者可通过远程发送特制请求触发服务异常,导致系统不可用。目前,该漏洞的利用代码已公开,且项目维护方尚未对此问题作出响应。
漏洞详情
- CVE 编号:CVE-2026-1171
- 漏洞类型:CWE-404(不正确的资源释放)
- CVSS 评分:CVSS v3.1 基础分 5.3(中危),CVSS v4.0 基础分 5.5(中危)
- 影响版本:birkir prime ≤ 0.4.0.beta.0
影响范围
所有使用 birkir prime 项目且版本不超过 0.4.0.beta.0 的系统均可能受到此漏洞影响,特别是暴露了 /graphql 接口的服务实例。
风险分析
该漏洞允许未经身份验证的远程攻击者通过向 GraphQL 接口发送恶意构造的请求,触发服务端异常或资源耗尽,从而造成拒绝服务。虽然不会导致信息泄露或远程代码执行,但可严重影响服务可用性,尤其在关键业务场景下可能带来较大运营风险。由于已有公开的 PoC 利用代码,实际攻击门槛较低。
修复建议
- 建议用户密切关注 birkir prime 官方仓库的更新动态,及时升级至修复后的安全版本。
- 在官方补丁发布前,可考虑临时限制对 /graphql 接口的访问(如通过防火墙或 WAF 规则),仅允许可信 IP 访问,以降低攻击面。
