支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-1170 基础信息
漏洞信息
                                        # Birkir Prime GraphQL API 信息泄露漏洞

## 概述
birkir prime 在 0.4.0.beta.0 及以下版本中存在一个漏洞,影响 GraphQL API 组件的 `/graphql` 文件处理过程,可导致信息泄露。

## 影响版本
birkir prime ≤ 0.4.0.beta.0

## 细节
该漏洞源于对 `/graphql` 端点的未知处理逻辑缺陷,攻击者可通过特定操纵触发敏感信息泄露。攻击可远程发起,且目前漏洞利用方法已公开。

## 影响
远程攻击者可利用该漏洞获取未授权信息,造成信息泄露。项目方已通过问题报告提前获知该漏洞,但尚未作出回应或修复。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
birkir prime GraphQL API graphql information disclosure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was detected in birkir prime up to 0.4.0.beta.0. This issue affects some unknown processing of the file /graphql of the component GraphQL API. Performing a manipulation results in information disclosure. The attack may be initiated remotely. The exploit is now public and may be used. The project was informed of the problem early through an issue report but has not responded yet.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1170 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-1170 的情报信息

  • 标题: Sensitive Information Disclosure via Introspection Query · Issue #541 · birkir/prime -- 🔗来源链接

    标签:exploitissue-tracking

    神龙速读:
                                            ### 漏洞关键信息

- **漏洞名称**: Sensitive Information Disclosure via Introspection Query
- **漏洞编号**: #541
- **状态**: Open
- **提报时间**: 2 周前

#### 摘要
该 CMS 系统的 GraphQL 功能允许内省查询(Introspection Queries),这使攻击者能够执行内省查询攻击,从而披露目标 GraphQL API 的能力。

#### 证明概念 (POC)
```bash
curl -X POST -H "User-Agent: oxpecker" -H "Accept-Encoding: gzip, deflate" -H "Accept: */*" -H "Connection: *
```
    Sensitive Information Disclosure via Introspection Query · Issue #541 · birkir/prime
  • https://vuldb.com/?ctiid.341764signaturepermissions-required

  • 标题: CVE-2026-1170 birkir prime GraphQL API graphql information disclosure (Issue 541) -- 🔗来源链接

    标签:vdb-entry

    神龙速读:
                                            ## 关键信息

- **CVE编号**: CVE-2026-1170
- **产品**: birkir prime
- **版本**: up to 0.4.0.beta.0
- **组件**: GraphQL API
- **漏洞类型**: 信息泄露 (漏洞类别 CWE-200)
- **CVSS Meta临时评分**: 5.0
- **当前漏洞利用价格**: $0-$5k
- **CTI兴趣评分**: 4.55
- **总结**: 在 birkir prime up to 0.4.0.beta.0 中发现了被标记为问题的漏洞,影响了 GraphQL 组件 /graphql 文件中未知函数。通过执行操作可能会导致信息泄露,该漏洞可以被远程发起。
- **详细信息**: 漏洞可以通过 GraphQL API 的未知输入操作导致,影响文件 /graphql 的未知部分,属于信息泄露漏洞。无需认证即可远程进行攻击,且存在已知的公共漏洞利用。该漏洞影响代码的安全性,尤其是敏感信息的安全,与未授权的参与者共享,已知的攻击技术是 T1592。
    CVE-2026-1170 birkir prime GraphQL API graphql information disclosure (Issue 541)

  • 标题: Submit #731100: birkir prime <=0.4.0 Sensitive Information Disclosure -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ## 关键漏洞信息

- **Title**: birkir prime <=0.4.0 Sensitive Information Disclosure
- **Description**: The GraphQL feature of this CMS system enables Introspection Queries, which allows any attacker to carry out Introspection Query attacks and thereby disclose the capabilities of the target GraphQL API.
- **Source**: https://github.com/birkir/prime/issues/541
- **Submission Date**: 01/03/2026 12:32 PM (17 days ago)
- **Moderation Date**: 01/19/2026 08:15 AM (16 days later)
- **Status**: Accepted
- **VulDB Entry**: [341764]((https://vuldb.com/?id.341764)) [birkir prime up to 0.4.0.beta.0 GraphQL API/ graphqil information disclosure]
- **Points**: 16
    Submit #731100: birkir prime <=0.4.0 Sensitive Information Disclosure
  • https://nvd.nist.gov/vuln/detail/CVE-2026-1170
四、漏洞 CVE-2026-1170 的评论

暂无评论

发表评论