【低危漏洞】CVE-2026-1197:MineAdmin 信息泄露漏洞分析
漏洞概述
近日,CVE 官方披露了一个影响 MineAdmin 1.x/2.x 版本的低危信息泄露漏洞(CVE-2026-1197)。攻击者可通过远程方式,对 /system/downloadById 接口中的 ID 参数进行恶意构造,从而获取未授权的敏感信息。尽管漏洞利用复杂度较高且需低权限账户,但相关 PoC 已公开,存在潜在风险。
漏洞详情
- CVE 编号:CVE-2026-1197
- 漏洞类型:信息泄露(CWE-200)、权限控制不当(CWE-284)
- CVSS 评分:CVSS v3.1 基础分 3.1(LOW),CVSS v4.0 基础分 2.3(LOW)
- 影响版本:MineAdmin 1.x 和 2.x
影响范围
该漏洞影响所有使用 MineAdmin 1.x 或 2.x 版本的系统,特别是未对 /system/downloadById 接口实施严格访问控制和参数校验的部署环境。攻击者需具备低权限账户(如普通用户)即可尝试发起攻击。
风险分析
此漏洞允许远程攻击者通过操纵 ID 参数,从 /system/downloadById 接口读取非预期的文件或数据,导致敏感信息泄露(如配置文件、内部文档等)。虽然攻击复杂度高(需特定条件或知识),且无法直接导致远程代码执行或权限提升,但由于 PoC 已公开,可能被用于辅助其他攻击场景,如横向移动或凭证收集。
修复建议
- 建议用户尽快升级至 MineAdmin 官方发布的安全版本(若已发布);
- 如暂无官方补丁,应限制 /system/downloadById 接口的访问权限,仅允许可信用户调用,并对 ID 参数进行严格校验与白名单过滤;
- 启用日志监控,关注异常的下载请求行为,及时发现潜在攻击活动。
