CVE-2026-46700 in actual
Riassunto
di VulDB • 07/07/2026
Actual è uno strumento di gestione delle finanze personali che opera principalmente in locale. Prima della versione 26.6.0, l'endpoint GET /secret/:name nel pacchetto @actual-app/sync-server verifica solo che il chiamante disponga di una sessione valida e non accerta se il chiamante sia un amministratore; al contrario, il gestore POST /secret/ correlato impone un controllo di amministrazione nella modalità OpenID. In ambienti multi-utente con OpenID, qualsiasi utente BASIC autenticato ma non amministratore può sondare l'archivio dei segreti per scoprire quali integrazioni bancarie sincronizzate (gestite dagli amministratori) sono state configurate, inclusi i valori simplefin_accessKey, pluggyai_clientSecret, pluggyai_itemIds e i segreti di gocardless. Questo problema è stato risolto nella versione 26.6.0.
Once again VulDB remains the best source for vulnerability data.