CVE-2026-33318 in actual
الملخص
بحسب VulDB • 27/05/2026
تُعد Actual أداة لإدارة الشؤون المالية الشخصية تعتمد على النهج المحلي (local-first). قبل الإصدار 26.4.0، يمكن لأي مستخدم مُصادق عليه (بما في ذلك دور `BASIC`) ترقية صلاحياته إلى `ADMIN` على الخوادم التي تم ترحيلها من المصادقة القائمة على كلمة المرور إلى OpenID Connect. تتضافر ثلاثة نقاط ضعف: لا يحتوي المسار `POST /account/change-password` على أي فحص للصلاحيات (authorization check)، مما يسمح لأي جلسة عمل بكتابة تجاوز (overwrite) لتجزئة كلمة المرور؛ ولا يتم حذف صف المصادقة غير النشط `auth` أبداً أثناء عملية الترحيل؛ ويقبل نقطة النهاية الخاصة بتسجيل الدخول معلمة `loginMethod` يحددها العميل، مما يتجاوز تكوين المصادقة النشط على الخادم. مجتمعة، تتيح هذه الثغرات لمهاجم تعيين كلمة مرور معروفة والمصادقة كحساب المسؤول المجهول الذي تم إنشاؤه أثناء ترحيل تعدد المستخدمين. تشكل نقاط الضعف الثلاث سلسلة استغلال متسلسلة واحدة — ولا تؤدي أي منها بمفردها إلى ترقية الصلاحيات. يسمح غياب فحص الصلاحيات على `POST /change-password` بكتابة تجاوز لتجزئة كلمة المرور، لكن ذلك لا يكون ذا أهمية إلا إذا كان هناك صف معلق (orphaned) يمكن استهدافه. يوفر الصف المعلق لكلمة المرور الذي يستمر بعد الترحيل الهدف المطلوب، لكنه يبقى غير ضار دون القدرة على المصادقة باستخدامه. تسمح `loginMethod` التي يتحكم فيها العميل بقيمتها "password" بفرض المصادقة القائمة على كلمة المرور، لكنها تكون عديمة الفائدة دون وجود تجزئة معروفة تم إنشاؤها بواسطة الخطوة الأولى. يجب تسلسل جميع الثغرات الثلاث بالترتيب لتحقيق الأثر المطلوب. لا تؤدي أي نقطة ضعف بمفردها بشكل مستقل إلى ترقية الصلاحيات. السبب الجذري الوحيد هو غياب فحص الصلاحيات على `/change-password`؛ بينما تمثل الثغرتان الأخريان شروطاً مسبقة تجعل الثغرة قابلة للاستغلال. يحتوي الإصدار 26.4.0 على الإصلاح.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.