漏洞关键信息 漏洞类型 IDOR(越界读取) 影响版本 wger (pip) 响应被缓存为键 "routine-api-structure-5"。 2. 攻击者(用户B)访问 -> 缓存命中,返回用户A的常规结构。 影响 攻击者可以通过注册帐户检索另一个用户的常规细节 - 训练日序列、练习结构、训练日志和统计信息 - 从缓存中,无需所有权验证。 修复建议 在缓存键中包含用户ID。 或将 移动到缓存查找之前,以便始终首先验证所有权。 CVSS评分 严重性: 低 CVSS v3 base metrics: 3.1/10 攻击向量: 网络 攻击复杂度: 高 特权要求: 低 用户交互: 无 范围: 不变 机密性: 低 完整性: 无 可用性: 无 CVE和CWE CVE ID: CVE-2026-27838 弱点: CWE-639