CVE-2026-59708 in Ghostfolioinfo

Zusammenfassung

von VulDB • 07.07.2026

Der GET /api/v1/public/:accessId/portfolio-Endpunkt in ghostfolio akzeptiert private Access IDs ohne Validierung der granteeUserId-Filterung und ermöglicht so unauthentifizierten Zugriff auf vollständige Portfolio-Daten. Angreifer mit einer privaten Access ID können sensible Portfolio-Informationen einschließlich Positionen, Mengen, Kaufpreisen und Performance-Kennzahlen ohne Authentifizierung abrufen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

VulnCheck

Reservieren

06.07.2026

Veröffentlichung

07.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376674

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!