CVE-2026-46700 in actualinformazioni

Riassunto

di VulDB • 07/07/2026

Actual è uno strumento di gestione delle finanze personali che opera principalmente in locale. Prima della versione 26.6.0, l'endpoint GET /secret/:name nel pacchetto @actual-app/sync-server verifica solo che il chiamante disponga di una sessione valida e non accerta se il chiamante sia un amministratore; al contrario, il gestore POST /secret/ correlato impone un controllo di amministrazione nella modalità OpenID. In ambienti multi-utente con OpenID, qualsiasi utente BASIC autenticato ma non amministratore può sondare l'archivio dei segreti per scoprire quali integrazioni bancarie sincronizzate (gestite dagli amministratori) sono state configurate, inclusi i valori simplefin_accessKey, pluggyai_clientSecret, pluggyai_itemIds e i segreti di gocardless. Questo problema è stato risolto nella versione 26.6.0.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

16/05/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!