一、 漏洞 CVE-2026-1193 基础信息
漏洞信息
# MineAdmin 视图未正确授权漏洞
## 概述
MineAdmin 1.x 和 2.x 版本中存在一个漏洞,位于组件“View Interface”的 `/system/cache/view` 文件中的未知函数。该漏洞因不恰当的授权控制导致,允许远程攻击者发起攻击。相关漏洞利用代码已公开,存在被利用的风险。厂商已提前被告知漏洞情况,但未作出任何回应。
## 影响版本
- MineAdmin 1.x
- MineAdmin 2.x
## 细节
- 漏洞文件:`/system/cache/view`
- 涉及组件:View Interface
- 漏洞类型:不恰当的授权(Improper Authorization)
- 攻击方式:远程利用
- 利用状态:已公开 exploit,具备可利用性
- 厂商响应:已联系,无回应
## 影响
攻击者可利用该漏洞绕过授权机制,远程执行非授权操作,可能导致系统敏感信息泄露、文件篡改或其他未授权行为,对系统安全性造成实质性威胁。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
MineAdmin View view improper authorization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was identified in MineAdmin 1.x/2.x. The impacted element is an unknown function of the file /system/cache/view of the component View Interface. The manipulation leads to improper authorization. The attack is possible to be carried out remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1193 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-1193 的情报信息
标题: MineAdmin Enterprise Backend Management System View Interface Logic Flaw Vulnerability · Issue #6 · SourByte05/MineAdmin-Vulnerability -- 🔗来源链接
标签:exploitissue-tracking
神龙速读:# 关键信息 ## 漏洞类型 - 逻辑漏洞(垂直权限提升) ## 影响版本 - MineAdmin v1.x - MineAdmin v2.x ## 漏洞影响 - 存在逻辑漏洞(垂直权限提升)在 `/system/cache/view` 接口中。尽管该接口需要登录,但缺少特定权限标识符。 - 攻击者可以通过垂直权限提升绕过系统,直接访问Redis缓存。通过缓存信息,可以查看高风险敏感信息,如管理员令牌、所有用户令牌和定时任务(crontabs)。 ## 漏洞利用证明 (POC) ### POC1: 访问 MineAdmin:Token:1 ```http POST /prod/system/cache/view HTTP/1.1 Host: 127.0.0.1:8888 Authorization: Bearer (Replace with ordinary user token here) ``` ### POC2: 访问 MineAdmin:cronatab ```http POST /prod/system/cache/view HTTP/1.1 Host: 127.0.0.1:8888 Authorization: Bearer (Replace with ordinary user token here) ``` ## 修复建议 - 在 `view` 接口上加强权限验证。
- https://vuldb.com/?ctiid.341778signaturepermissions-required
标题: CVE-2026-1193 MineAdmin View view improper authorization -- 🔗来源链接
标签:vdb-entry
神龙速读:### 漏洞关键信息 - **漏洞编号**: - VDB-341778 - CVE-2026-1193 - GCVE-100-341778 - **CVSS Meta Temp Score**: 6.0 - **漏洞描述**: - 在 MineAdmin 1.x/2.x 的 `/system/cache/view` 文件中存在一个未明确说明的功能,导致不正确的授权问题。通过未知输入的操控可能导致授权不当。 - **CVE分类**: CWE-285 (授权不当) - **技术影响**: - 该漏洞可能影响机密性、完整性及可用性。 - **攻击可行性**: - 攻击可远程执行。 - 已有一个公开的漏洞利用代码,声明为概念验证(PoC)。 - **价格范围**: $0-$5k - **CTI Interest Score**: 2.65 - **额外信息**: - 建议可在 GitHub 查看。 - 攻击者可轻松发起远程攻击。 - 与 MITRE ATT&CK 的 T1548.002 有关联。 - 供应商已提前通知但未作回应。
标题: Submit #734270: MineAdmin MineAdmin Enterprise Backend Management System MineAdmin v1.x MineAdmin v2.x Logical flaw and vulnerability -- 🔗来源链接
标签:third-party-advisory
神龙速读:### 漏洞关键信息 - **标题**: MineAdmin Enterprise Backend Management System MineAdmin v1.x/v2.x 逻辑漏洞和脆弱性 - **描述**: 存在一个逻辑漏洞(垂直权限提升),位于 /system/cache/view 中。尽管视图界面需要登录,但它缺乏特定的权限标识符。攻击者可以通过垂直权限提升绕过系统并直接访问 Redis 缓存。通过缓存信息,可以查看高风险敏感信息,如管理员令牌、所有用户令牌和 crontabs。 - **来源**: https://github.com/SourByte05/MineAdmin-Vulnerability/issues/6 - **提交者**: sourbyte (UID 94279) - **提交日期**: 2026年1月1日 09:54 AM - **审核日期**: 2026年1月19日 03:00 PM - **状态**: 已接受 - **VulDB 条目**: [341778] [MineAdmin 1.x/2.x 查看接口 /system/cache/view 权限不当] - **积分**: 19
- https://nvd.nist.gov/vuln/detail/CVE-2026-1193
四、漏洞 CVE-2026-1193 的评论
暂无评论