【中危漏洞】CVE-2026-1174:birkir prime GraphQL 组件资源消耗漏洞
漏洞概述
birkir prime 项目在 0.4.0.beta.0 及更早版本中存在一个安全漏洞,影响其 GraphQL Alias Handler 组件中的 /graphql 文件。攻击者可远程触发该漏洞,导致系统资源过度消耗,进而可能引发拒绝服务(DoS)。目前该漏洞的利用代码已公开披露,且项目方尚未对此问题作出响应。
漏洞详情
- CVE 编号:CVE-2026-1174
- 漏洞类型:资源消耗(CWE-400:未加控制的资源消耗;CWE-404:不正确的资源关闭或释放)
- CVSS 评分:CVSS v3.1 评分为 5.3(中危),CVSS v4.0 评分为 5.5(中危)
- 影响版本:birkir prime ≤ 0.4.0.beta.0
影响范围
该漏洞影响使用 birkir prime 项目 0.4.0.beta.0 及之前版本的系统,特别是启用了 GraphQL 功能并暴露 /graphql 接口的服务。由于漏洞位于 GraphQL Alias Handler 组件中,任何通过该接口处理别名请求的实例均可能受到影响。
风险分析
攻击者可无需身份认证、无需用户交互,通过网络远程发送特制请求,触发 GraphQL 别名处理逻辑中的资源消耗缺陷。虽然该漏洞不会导致信息泄露或权限提升,但可能造成服务可用性下降甚至完全不可用,构成拒绝服务(DoS)风险。鉴于漏洞利用代码已公开,实际攻击可能性较高。
修复建议
- 建议用户密切关注 birkir/prime 项目的官方 GitHub 仓库(https://github.com/birkir/prime),待官方发布修复版本后立即升级。
- 在官方补丁发布前,可考虑临时限制对 /graphql 接口的访问,例如通过防火墙规则、API 网关或速率限制策略,降低被滥用的风险。
