CVE-2026-27833Piwigo是一个开源的Web照片库应用程序。在16.3.0版本之前,其pwg.history.search API方法在注册时未设置admin_only选项,导致未经身份验证的攻击者可以访问该API,从而获取所有画廊访问者的完整浏览历史记录。该漏洞存在较高隐私风险,目前已在16.3.0版本中修复。
该漏洞产生的根本原因是Piwigo后端对敏感API接口的访问控制机制失效。在受影响版本中,`pwg.history.search` API方法负责记录和查询画廊的访问日志,属于敏感功能。然而,开发人员在源代码中注册该接口时,未将其标记为`admin_only`(仅管理员可访问)。这意味着系统在处理该接口的请求时,不会强制执行身份验证流程。攻击者只需向`ws.php`发送包含特定方法名的POST请求,即可绕过前端登录页面,直接获取数据库中的历史浏览记录。由于攻击向量(AV)为网络,且无需用户交互,攻击者可利用该漏洞批量扫描互联网上的Piwigo站点,窃取用户行为数据,造成严重的信息泄露风险。