关键漏洞信息 漏洞概要 标题: Missing Authentication for SimpleFIN and Pluggy AI bank sync endpoints 识别: GHSA-m2cq-xjgm-f668 类型: 缺失认证 严重性: 严重 (CVSS评分: 9.2/10) 受影响版本: = 26.2.1 影响 危害: 未认证的攻击者可访问银行账户余额和交易历史,影响所有配置了SimpleFIN或Pluggy.ai集成的ActualBudget服务器用户。 条件: 实例必须在网络中可访问。 漏洞细节 受影响文件: - - 缺失认证的敏感端点: - POST /simplefin/status - POST /simplefin/accounts - POST /simplefin/transactions - POST /pluggyai/status - POST /pluggyai/accounts - POST /pluggyai/transactions 证明示例 (PoC) SimpleFIN 检查配置: 列出账户: 列出特定账户交易: PluggyAI 检查配置: 列出账户: 列出特定账户交易: 无认证要求: 仅需网络访问权限即可利用。 其他信息 CVE编号: CVE-2026-27584 弱点分类: CWE-306 报告者: iamsilk