Vulnerabilidad en Umbraco Engage (CVE-2026-27449)

Umbraco Engage es una plataforma de inteligencia de negocios. Una vulnerabilidad ha sido identificada en Umbraco Engage en versiones anteriores a la 16.2.1 y 17.1.1 donde ciertos endpoints de la API están expuestos sin aplicar comprobaciones de autenticación o autorización. Los endpoints afectados pueden ser accedidos directamente a través de la red sin requerir una sesión válida o credenciales de usuario. Al proporcionar un parámetro identificador controlado por el usuario (por ejemplo, ?id=), un atacante puede recuperar datos sensibles asociados con registros arbitrarios. Debido a que no se realiza ninguna validación de control de acceso, los endpoints son vulnerables a ataques de enumeración, permitiendo a los atacantes iterar sobre identificadores y extraer datos a escala. Un atacante no autenticado puede recuperar datos sensibles relacionados con Engage consultando directamente los endpoints de la API afectados. La vulnerabilidad permite el acceso arbitrario a registros a través de identificadores predecibles o enumerables. El impacto en la confidencialidad se considera alto. No se ha identificado ningún impacto directo en la integridad o disponibilidad. El alcance de los datos expuestos depende de la implementación, pero puede incluir datos analíticos, datos de seguimiento, información relacionada con clientes u otro contenido gestionado por Engage. La vulnerabilidad afecta tanto a la v16 como a la v17. Los parches ya han sido lanzados. Se aconseja a los usuarios actualizar a la 16.2.1 o 17.1.1. No se conocen soluciones alternativas disponibles.