LOWCVE-2026-3193CVSS 3.1

Chia Blockchain send_transaction 跨站请求伪造 (Cross-Site Request Forgery)

平台

python

组件

chia-blockchain

修复版本

2.1.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-3193 描述了Chia Blockchain 2.1.0版本中发现的跨站请求伪造(CSRF)漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作，可能导致数据泄露或系统被篡改。受影响的版本为2.1.0。目前已公开漏洞利用方法，建议用户尽快采取缓解措施。

影响与攻击场景

攻击者可以利用此CSRF漏洞，伪造用户请求，从而在用户不知情的情况下执行恶意操作。例如，攻击者可以伪造一个交易请求，将用户的Chia币转移到攻击者的账户。由于该漏洞已公开，攻击者可以轻松地利用它来攻击受影响的系统。虽然供应商认为该行为是设计使然，但用户仍然需要采取措施来保护其主机安全，防止未经授权的访问和操作。该漏洞的潜在影响包括资金损失、数据泄露和系统被篡改。

利用背景

该漏洞已公开，攻击者可以利用公开的漏洞利用方法进行攻击。目前尚未观察到大规模的利用活动，但由于漏洞利用方法已公开，存在被利用的风险。该漏洞已于2026年2月25日公开，并被添加到NVD数据库中。CISA尚未将其添加到KEV目录中。

哪些人处于风险中翻译中…

Users of Chia Blockchain 2.1.0 who do not implement robust host security measures are at risk. This includes individuals running Chia Blockchain nodes on shared hosting environments or those who are not vigilant about phishing attacks and other social engineering tactics. Users relying on default configurations without additional security layers are particularly vulnerable.

检测步骤翻译中…

• python / chia blockchain: Monitor Chia Blockchain logs for unusual transaction patterns or requests originating from unexpected sources.

# Example: Check for suspicious requests in the transaction log
import re
with open('/path/to/chia/blockchain/transaction.log', 'r') as f:
    for line in f:
        if re.search(r'unexpected_source', line):
            print(f'Potential CSRF attack detected: {line}')

• generic web: Inspect HTTP requests to /send_transaction for unexpected origins or referers. • generic web: Review access logs for requests containing suspicious parameters or payloads.

攻击时间线

2026-02-25Disclosure
disclosure
2026-02-25PoC
poc

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.02% (6% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件chia-blockchain

供应商Chia

影响范围修复版本

2.1.0 – 2.1.02.1.1

弱点分类 (CWE)

CWE-352 CWE-862

时间线

已保留2026-02-25
发布日期2026-02-25
修改日期2026-02-27
EPSS 更新日期2026-03-23

未修复 — 披露已88天

缓解措施和替代方案

由于供应商认为该漏洞是设计使然，官方未提供直接的修复补丁。用户应采取额外的安全措施来缓解风险。建议实施严格的输入验证和输出编码，以防止恶意请求的注入。此外，应启用内容安全策略(CSP)来限制浏览器可以加载的资源，从而降低CSRF攻击的风险。用户还应定期审查其Chia Blockchain配置，确保其符合最佳安全实践。在采取任何缓解措施后，请仔细检查Chia Blockchain的配置，确保其正常运行。

修复方法

升级到 2.1.0 之后的版本，如果可用，或者实施额外的安全措施来缓解 CSRF 攻击的风险。由于供应商认为这'是设计使然'，可能没有官方解决方案。考虑禁用受影响的功能或实施更严格的访问控制。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2026-3193 — CSRF漏洞在Chia Blockchain 2.1.0中？

CVE-2026-3193描述了Chia Blockchain 2.1.0版本中发现的跨站请求伪造(CSRF)漏洞，攻击者可以伪造用户请求执行恶意操作。

我是否受到CVE-2026-3193在Chia Blockchain 2.1.0中的影响？

如果您正在运行Chia Blockchain 2.1.0版本，则可能受到此漏洞的影响。建议采取缓解措施以降低风险。

我如何修复CVE-2026-3193在Chia Blockchain 2.1.0中？

由于供应商认为该行为是设计使然，官方未提供直接的修复补丁。建议实施输入验证、输出编码和内容安全策略(CSP)等缓解措施。

CVE-2026-3193是否正在被积极利用？

虽然尚未观察到大规模的利用活动，但由于漏洞利用方法已公开，存在被利用的风险。

在哪里可以找到Chia Blockchain官方关于CVE-2026-3193的公告？

请查阅Chia Blockchain官方网站或GitHub仓库，以获取有关CVE-2026-3193的官方公告和安全建议。