关键漏洞信息 漏洞概述 漏洞类型: IDOR (Insecure Direct Object References) 标题: IDOR in nutritional_values endpoints exposes private dietary data via direct ORM lookup CVE ID: CVE-2026-27839 缺陷: 漏洞允许任何已验证用户通过直接提供任意 PK 值访问其他用户的私有营养计划数据。 CVSS v3 基本指标: - 严重性: 中等 (4.3/10) - 访问向量: 网络 - 访问复杂度: 低 - 特权要求: 低 - 用户交互: 不需要 - 作用范围: 不变 - 机密性影响: 低 - 完整性影响: 无 - 可用性影响: 无 技术细节 受影响包: wger (pip) 受影响版本号: <= 2.4 漏洞端点: - - - 漏洞代码: 有时不应用用户作用域查询集。 原理: 由于缺乏对象级别的权限验证,直接调用 ORM 暴露了私人数据。 漏洞修复 修复措施: 用 替换直接的 ORM 调用,或者明确添加用户过滤器。 修复示例: 影响 敏感健康信息泄露: 包括每日能量摄入、营养素摄入和餐食成分等。