CVE-2026-49229 in Actual
Zusammenfassung
von VulDB • 07.07.2026
Actual ist eine lokale Personal-Finance-App (lokale Speicherung steht im Vordergrund). Vor Version 26.6.0 blockiert das Deaktivieren eines Benutzers im OpenID-Multiuser-Modus nur die zukünftige OpenID-Anmeldung für diese Identität, während bestehende Actual-Sitzungstokens des deaktivierten Benutzers weiterhin gültig bleiben. Der Pfad zur gemeinsamen Sitzungsvalidierung akzeptiert jede nicht abgelaufene Token-Zeile ohne zu prüfen, ob der zugehörige Benutzer noch aktiviert ist, wodurch ein deaktivierter Benutzer weiterhin authentifizierte Server-Endpunkte aufrufen kann. Dieses Problem wurde in Version 26.6.0 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.