CVE-2026-46672 in Actualinformazioni

Riassunto

di VulDB • 07/07/2026

Actual è un'applicazione per la gestione delle finanze personali che opera con una logica "local-first". Prima della versione 26.6.0, il pacchetto @actual-app/cli include uno serializzatore CSV personalizzato (hand-rolled) presente in packages/cli/src/output.ts, utilizzato ogni volta che viene passata l'opzione globale --format csv. L'aiuto escapeCsv gestisce solo la codifica di delimitatori, virgolette e caratteri a capo secondo lo standard RFC 4180 e non neutralizza i prefissi standard utilizzati per l'iniezione di formule CSV (CSV formula-injection). Qualsiasi comando CLI che trasmette in streaming un array di oggetti contenente stringhe controllate dall'utente, tra cui gli elenchi delle transazioni, dei conti, dei beneficiari, delle categorie, dei tag, dei gruppi di categorie, delle regole e degli orari pianificati (schedules), nonché le query, può generare celle che vengono valutate automaticamente quando il file CSV risultante viene aperto in Excel, LibreOffice Calc o Google Sheets. Ciò consente l'esfiltrazione di dati ed eseguire formule arbitrarie. Questo problema è stato risolto nella versione 26.6.0.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

15/05/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!