一、 漏洞 CVE-2026-1175 基础信息

                                        # Birkir Prime GraphQL 指令信息泄露漏洞

## 概述
birkir prime 在版本 0.4.0.beta.0 及之前存在一个漏洞，影响 GraphQL Directive Handler 组件中 `/graphql` 文件的未知功能，导致通过错误消息泄露敏感信息。

## 影响版本
0.4.0.beta.0 及之前的所有版本。

## 细节
攻击者可通过远程操控触发 GraphQL 请求，利用该漏洞使系统返回包含敏感信息的错误消息，从而实现信息暴露。漏洞利用方式已公开，并可能被实际利用。

## 影响
导致信息暴露，攻击者可利用错误消息获取系统内部信息，可能用于进一步攻击。项目方已通过问题报告获知该问题，但尚未作出回应或修复。
                                        

二、漏洞 CVE-2026-1175 的公开POC

三、漏洞 CVE-2026-1175 的情报信息

• 标题： GraphQL Directive Information Disclosure Vulnerability · Issue #546 · birkir/prime -- 🔗来源链接

  标签：exploitissue-tracking

  神龙速读：

                                          - **漏洞类型**：GraphQL指令信息泄露漏洞
  
  - **漏洞简介**：
    该漏洞允许攻击者通过内省查询或错误消息泄露服务器定义的指令名、参数和默认值。这会使攻击者获得安全架构细节如认证机制、速率限制配置和敏感字段标识，通过构造恶意错误查询提供精确攻击路径。
  
  - **漏洞编号**：#546
  
  - **议题状态**：开放（Open）
  
  - **POC（概念验证）**：
    ```bash
    curl -X POST -H "User-Agent: oxpecker" -H "Accept-Encoding: gzip, deflate" -H "Accept: */*" -H "Connection: keep-alive" ... additional request components
    ```
    - **响应示例**：
    ```json
    {"errors":[{"message":"Cannot query field \"directive\" on type \"__Schema\". Did you mean \"directives\"? ", ... additional response information}]
    ```
                                          

  
• https://vuldb.com/?ctiid.341769signaturepermissions-required
• https://vuldb.com/?id.341769vdb-entry
• https://vuldb.com/?submit.731106third-party-advisory
• https://nvd.nist.gov/vuln/detail/CVE-2026-1175

四、漏洞 CVE-2026-1175 的评论