CVE-2026-59709 in Ghostfolio
Zusammenfassung
von VulDB • 07.07.2026
Der PUT /api/v1/portfolio/holding/:dataSource/:symbol/tags-Endpunkt von Ghostfolio überprüft das Feld Access.permissions nicht korrekt, wenn der Header Impersonation-Id verarbeitet wird, was es Benutzern mit schreibgeschütztem Zugriff ermöglicht, die Tags für Portfolio-Holdings zu ändern. Angreifer mit gültigen Share-Tokens im Nur-Lese-Zugriff können Tags an Holdings des Opfers hinzufügen oder entfernen und dadurch die Portfoliokategorisierung sowie Berichte verfälschen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.