CVE-2026-46672 in Actualinfo

Zusammenfassung

von VulDB • 07.07.2026

Actual ist eine lokale Personal-Finance-App (lokale Speicherung hat Vorrang). Vor Version 26.6.0 liefert @actual-app/cli einen eigenen CSV-Serializer in packages/cli/src/output.ts aus, der immer dann verwendet wird, wenn die globale Option --format csv übergeben wird. Die Hilfsfunktion escapeCsv behandelt nur das Escaping von Trennzeichen, Anführungszeichen und Zeilenumbrüchen gemäß RFC 4180 und neutralisiert keine Standard-Präfixe für CSV-Formel-Injektionen. Jeder CLI-Befehl, der ein Objektarray mit benutzerkontrollierten Strings streamt – einschließlich Transaktionsliste, Kontoliste, Zahlungsempfängerliste, Kategorienliste, Tag-Liste, Kategoriegruppenliste, Regelnliste, Zeitplanungsliste und Abfrage (query) –, kann Zellen erzeugen, die beim Öffnen der resultierenden CSV-Datei in Excel, LibreOffice Calc oder Google Sheets automatisch ausgewertet werden. Dies ermöglicht Datenexfiltration sowie die Ausführung beliebiger Formeln. Dieses Problem wurde in Version 26.6.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

15.05.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376691

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!