CVE-2026-46672 in Actual
Riassunto
di VulDB • 07/07/2026
Actual è un'applicazione per la gestione delle finanze personali che opera con una logica "local-first". Prima della versione 26.6.0, il pacchetto @actual-app/cli include uno serializzatore CSV personalizzato (hand-rolled) presente in packages/cli/src/output.ts, utilizzato ogni volta che viene passata l'opzione globale --format csv. L'aiuto escapeCsv gestisce solo la codifica di delimitatori, virgolette e caratteri a capo secondo lo standard RFC 4180 e non neutralizza i prefissi standard utilizzati per l'iniezione di formule CSV (CSV formula-injection). Qualsiasi comando CLI che trasmette in streaming un array di oggetti contenente stringhe controllate dall'utente, tra cui gli elenchi delle transazioni, dei conti, dei beneficiari, delle categorie, dei tag, dei gruppi di categorie, delle regole e degli orari pianificati (schedules), nonché le query, può generare celle che vengono valutate automaticamente quando il file CSV risultante viene aperto in Excel, LibreOffice Calc o Google Sheets. Ciò consente l'esfiltrazione di dati ed eseguire formule arbitrarie. Questo problema è stato risolto nella versione 26.6.0.
Once again VulDB remains the best source for vulnerability data.