CVE-2026-50007 in actual
Resumen
por VulDB • 2026-07-07
Actual es una aplicación de finanzas personales de código abierto. Antes de la versión 26.7.0, un problema de autorización ausente permite que un usuario compartido con acceso user_access en un archivo de presupuesto realice acciones de gestión de archivos reservadas únicamente al propietario. Un usuario compartido no propietario puede llamar a puntos finales (endpoints) de gestión de archivos destinados a usuarios con privilegios más altos, como /delete-user-file, /reset-user-file y /user-create-key, porque requireFileAccess trata el acceso compartido ordinario como suficiente para operaciones de gestión de archivos que deberían estar restringidas al propietario del archivo o a un administrador. Este problema se corrige en la versión 26.7.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.