漏洞关键信息 漏洞标题: Unauthorized Access to Multiple API Endpoints 漏洞类型: 未经授权访问多个API端点 影响包: Umbraco.Engage.Forms (NuGet) 受影响版本: - - 修复版本: - - 安全等级: 高 (CVSS v3 base metrics: 7.5/10) CVE ID: CVE-2026-27449 描述: - 在Umbraco Engage中存在漏洞,某些API端点在没有强制执行身份验证或授权检查的情况下暴露。攻击者可以通过网络直接访问这些端点,而无需有效会话或用户凭据。通过提供用户控制的标识符参数,攻击者可以检索与任意记录相关的敏感数据。 - 由于未执行访问控制验证,这些端点容易受到枚举攻击,攻击者可以通过迭代标识符大规模提取数据。 影响: - 未经过身份验证的攻击者可以通过直接查询受影响的API端点来检索敏感的Engage相关数据。漏洞允许通过可预测或可枚举的标识符访问任意记录。 - 保密性的影响被认为很高。没有发现直接的完整性和可用性影响。 - 暴露的数据范围取决于部署,但可能包括分析数据、跟踪数据、客户相关信息或其他由Engage管理的内容。 补丁信息: - 漏洞影响v16和v17两个版本,补丁已发布。建议用户升级至 或 。 临时应对措施: - 未提供临时应对的具体方式,询问是否有方法在不升级的情况下修复或缓解该漏洞。 参考资料: - 询问用户是否可以通过某些链接找到更多相关信息。