CVE-2026-49229 in Actualinfo

Zusammenfassung

von VulDB • 07.07.2026

Actual ist eine lokale Personal-Finance-App (lokale Speicherung steht im Vordergrund). Vor Version 26.6.0 blockiert das Deaktivieren eines Benutzers im OpenID-Multiuser-Modus nur die zukünftige OpenID-Anmeldung für diese Identität, während bestehende Actual-Sitzungstokens des deaktivierten Benutzers weiterhin gültig bleiben. Der Pfad zur gemeinsamen Sitzungsvalidierung akzeptiert jede nicht abgelaufene Token-Zeile ohne zu prüfen, ob der zugehörige Benutzer noch aktiviert ist, wodurch ein deaktivierter Benutzer weiterhin authentifizierte Server-Endpunkte aufrufen kann. Dieses Problem wurde in Version 26.6.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

28.05.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376718

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!