漏洞关键信息 漏洞名称: Broken Object-Level Authorization in User Profile Endpoint Exposes Third-Party Notification Credentials 严重性: Moderate (6.5/10) CVE ID: CVE-2026-27793 受影响版本: <= 3.0.1 修复版本: 3.1.0 漏洞详情 描述: 该漏洞存在于 端点中,该端点返回用户的完整设置对象,包括 Pushover、Pushbullet 和 Telegram 的凭据。任何经过身份验证的请求者都可以获取这些凭据,而无需考虑他们的权限级别。与未授权账户创建漏洞结合,形成零权限访问链,泄露所有用户的第三方 API 凭据。 影响: 无权限检查保护 路径段,设置关系对象在每次用户数据获取时都进行了预加载。 根本原因: - : 服务响应前未进行所有权或权限检查。 - : 设置关系对象总是预加载,因此在序列化响应中总是存在。 - : 过滤字段只过滤了 和 ,允许整个设置对象(包括通知凭据)传给非管理员调用者。 期望行为 端点应验证经过身份验证的用户是个人资料的所有者或管理员,然后再返回用户数据。 实际行为 任何经过身份验证的用户均可通过操纵 URL 中的 参数来检索任何用户的完整设置对象(包括第三方凭据)。