CVE-2026-59709 in Ghostfolioinfo

Zusammenfassung

von VulDB • 07.07.2026

Der PUT /api/v1/portfolio/holding/:dataSource/:symbol/tags-Endpunkt von Ghostfolio überprüft das Feld Access.permissions nicht korrekt, wenn der Header Impersonation-Id verarbeitet wird, was es Benutzern mit schreibgeschütztem Zugriff ermöglicht, die Tags für Portfolio-Holdings zu ändern. Angreifer mit gültigen Share-Tokens im Nur-Lese-Zugriff können Tags an Holdings des Opfers hinzufügen oder entfernen und dadurch die Portfoliokategorisierung sowie Berichte verfälschen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

VulnCheck

Reservieren

06.07.2026

Veröffentlichung

07.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376645

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!