Umbraco Engage — платформа бизнес-аналитики. В Umbraco Engage была обнаружена уязвимость до версий 16.2.1 и 17.1.1, из-за которой определенные конечные точки API предоставляются без принудительной проверки подлинности или авторизации. Доступ к затронутым конечным точкам можно получить напрямую через сеть, не требуя действующего сеанса или учетных данных пользователя.
Указав параметр идентификатора, управляемый пользователем (например, ?id=), злоумышленник может получить конфиденциальные данные, связанные с произвольными записями. Поскольку проверка контроля доступа не выполняется, конечные точки уязвимы для атак перечисления, что позволяет злоумышленникам перебирать идентификаторы и извлекать данные в большом масштабе. Злоумышленник, не прошедший проверку подлинности, может получить конфиденциальные данные, связанные с Engage, напрямую запросив затронутые конечные точки API.
Уязвимость обеспечивает произвольный доступ к записям через предсказуемые или перечислимые идентификаторы. Влияние конфиденциальности считается высоким. Никакого прямого воздействия на целостность или доступность не выявлено.
Объем предоставляемых данных зависит от развертывания, но может включать в себя аналитические данные, данные отслеживания, информацию о клиентах или другой контент, управляемый Engage. Уязвимость затрагивает как v16, так и v17. Патчи уже выпущены.
Пользователям рекомендуется обновиться до 16.2.1 или 17.1.1. Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
Umbraco Engage is a business intelligence platform. A vulnerability has been identified in Umbraco Engage prior to versions 16.2.1 and 17.1.1 where certain API endpoints are exposed without enforcing authentication or authorization checks. The affected endpoints can be accessed directly over the network without requiring a valid session or user credentials. By supplying a user-controlled identifier parameter (e.g., ?id=), an attacker can retrieve sensitive data associated with arbitrary records. Because no access control validation is performed, the endpoints are vulnerable to enumeration attacks, allowing attackers to iterate over identifiers and extract data at scale. An unauthenticated attacker can retrieve sensitive Engage-related data by directly querying the affected API endpoints. The vulnerability allows arbitrary record access through predictable or enumerable identifiers. The confidentiality impact is considered high. No direct integrity or availability impact has been identified. The scope of exposed data depends on the deployment but may include analytics data, tracking data, customer-related information, or other Engage-managed content. The vulnerability affects both v16 and v17. Patches have already been released. Users are advised to update to 16.2.1 or 17.1.1. No known workarounds are available.
Характеристики атаки
Последствия
Строка CVSS v3.1