Ghostfolio - Unauthorized Portfolio Data Exposure via Public Endpoint 漏洞概述 Ghostfolio 的 端点接受私有访问 ID,而不验证 ,允许未经身份验证的访问者获取完整的投资组合数据。攻击者可以使用私有访问 ID 检索敏感的投资组合信息,包括持仓、数量、买入价格和性能指标,而无需进行身份验证。 影响范围 影响版本: 修复版本: 修复方案 修复提交:commit 697ef59 参考链接 GitHub Issue Product Patch Commit 其他信息 严重性: HIGH 日期: 7/7/2026 CVE: CVE-2026-59708 CWE: CWE-862 Missing Authorization CVSS: 8.7 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 贡献者: George Chen