CVE-2026-33318 in actual
Zusammenfassung
von VulDB • 21.05.2026
Actual ist ein lokal-first Personal-Finance-Tool. Vor Version 26.4.0 kann jeder authentifizierte Benutzer (einschließlich der Rolle `BASIC`) auf `ADMIN` eskalieren, wenn Server von der Passwortauthentifizierung zu OpenID Connect migriert wurden. Drei Schwachstellen wirken zusammen: `POST /account/change-password` verfügt über keine Autorisierungsprüfung, sodass jede Sitzung den Passwort-Hash überschreiben kann; die inaktive Passwort-`auth`-Zeile wird bei der Migration niemals entfernt; und der Login-Endpunkt akzeptiert ein clientseitig bereitgestelltes `loginMethod`, das die aktive Authentifizierungskonfiguration des Servers umgeht. Zusammen ermöglichen dies einem Angreifer, ein bekanntes Passwort festzulegen und sich als der anonyme Admin-Konto anzumelden, das während der Multiuser-Migration erstellt wurde. Die drei Schwachstellen bilden eine einzige, sequenzielle Exploit-Kette – keine führt allein zu einer Rechteerweiterung. Fehlende Autorisierung auf POST /change-password ermöglicht das Überschreiben eines Passwort-Hashes, ist aber nur relevant, wenn eine verwaiste Zeile als Ziel vorhanden ist. Eine nach der Migration persistierende verwaiste Passwortzeile stellt das Ziel bereit, ist jedoch ohne die Fähigkeit zur Authentifizierung damit harmlos. Client-gesteuertes loginMethod: "password" ermöglicht das Erzwingen der passwortbasierten Authentifizierung, ist aber ohne einen durch Schritt 1 etablierten bekannten Hash nutzlos. Alle drei müssen sequenziell gekettet werden, um die Auswirkung zu erzielen. Keine einzelne Schwachstelle führt unabhängig zu einer Rechteerweiterung. Die einzige Ursache ist die fehlende Autorisierungsprüfung auf /change-password; die anderen beiden sind Voraussetzungen, die die Ausnutzbarkeit ermöglichen. Version 26.4.0 enthält eine Korrektur.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.