【中危漏洞】CVE-2026-1172:birkir prime GraphQL 组件拒绝服务漏洞
漏洞概述
近日,安全研究人员披露了一个影响 birkir prime 项目(版本最高至 0.4.0.beta.0)的拒绝服务(Denial of Service, DoS)漏洞。该漏洞存在于其 GraphQL Directive Handler 组件中的 /graphql 文件处理逻辑中,攻击者可远程触发该漏洞,导致服务不可用。目前,漏洞利用代码已公开,且项目维护方尚未对此问题作出响应。
漏洞详情
- CVE 编号:CVE-2026-1172
- 漏洞类型:拒绝服务(CWE-404:不正确的资源释放)
- CVSS 评分:CVSS v3.1 基础分 5.3(中危),CVSS v4.0 基础分 5.5(中危)
- 影响版本:birkir prime ≤ 0.4.0.beta.0
影响范围
该漏洞影响使用 birkir prime 项目中 GraphQL 功能的系统,特别是版本在 0.4.0.beta.0 及以下的部署实例。由于漏洞位于 /graphql 接口的指令处理逻辑中,任何暴露该接口的公开或内部服务均可能受到攻击。
风险分析
攻击者可通过构造恶意 GraphQL 请求,远程触发该漏洞,导致目标服务资源耗尽或进程崩溃,从而造成拒绝服务。虽然该漏洞不会导致信息泄露或远程代码执行,但可严重影响服务可用性,尤其在高并发或关键业务场景下可能带来较大业务中断风险。值得注意的是,漏洞利用代码已公开,增加了被大规模滥用的可能性。
修复建议
- 建议用户密切关注 birkir/prime 项目的官方 GitHub 仓库(https://github.com/birkir/prime),及时升级至修复后的安全版本。
- 在官方补丁发布前,可考虑临时限制对 /graphql 接口的访问,例如通过防火墙、WAF 或身份验证机制限制未授权访问,以降低攻击面。
