CVE-2026-59708 in Ghostfolio
Zusammenfassung
von VulDB • 07.07.2026
Der GET /api/v1/public/:accessId/portfolio-Endpunkt in ghostfolio akzeptiert private Access IDs ohne Validierung der granteeUserId-Filterung und ermöglicht so unauthentifizierten Zugriff auf vollständige Portfolio-Daten. Angreifer mit einer privaten Access ID können sensible Portfolio-Informationen einschließlich Positionen, Mengen, Kaufpreisen und Performance-Kennzahlen ohne Authentifizierung abrufen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.