【中危漏洞】CVE-2026-1175:birkir prime GraphQL 组件信息泄露漏洞
漏洞概述
近日,安全研究人员披露了一个影响 birkir prime 软件的中危漏洞(CVE-2026-1175)。该漏洞存在于其 GraphQL 指令处理器(GraphQL Directive Handler)组件中,具体涉及 /graphql 接口。攻击者可远程触发异常,导致系统返回包含敏感信息的错误消息,从而造成信息泄露。目前,该漏洞的利用代码已公开,存在被实际攻击的风险。
漏洞详情
- CVE 编号:CVE-2026-1175
- 漏洞类型:信息泄露(通过错误消息暴露敏感信息)
- CVSS 评分:CVSS v3.1 基础分 5.3(MEDIUM),CVSS v4.0 基础分 5.5(MEDIUM)
- 影响版本:birkir prime 0.4.0.beta.0 及更早版本
影响范围
该漏洞影响使用 birkir prime 项目且版本不高于 0.4.0.beta.0 的系统,特别是启用了 GraphQL 功能并暴露 /graphql 接口的服务。由于攻击无需身份认证且可通过网络远程发起,任何未修复的公网部署实例均可能受到影响。
风险分析
攻击者可构造恶意 GraphQL 请求,触发应用程序异常,并从返回的错误信息中获取内部系统细节(如路径、配置、堆栈跟踪等),这些信息可能被用于进一步的攻击规划,例如识别其他潜在漏洞或绕过安全机制。虽然该漏洞本身不直接导致远程代码执行或权限提升,但作为信息收集阶段的关键环节,其危害不容忽视。
修复建议
- 建议用户密切关注 birkir/prime 项目的官方 GitHub 仓库(https://github.com/birkir/prime),待官方发布安全补丁后立即升级至修复版本。
- 在官方修复前,可临时采取以下缓解措施:
- 限制 /graphql 接口的访问权限,仅允许可信 IP 或内部网络调用;
- 配置 Web 应用防火墙(WAF)规则,过滤异常 GraphQL 请求;
- 禁用生产环境中的详细错误信息返回,确保错误响应不包含敏感数据。
