CVE-2026-49229 in Actualinformazioni

Riassunto

di VulDB • 07/07/2026

Actual è un'applicazione per la gestione delle finanze personali con architettura locale-first (local-first). Prima della versione 26.6.0, nella modalità multi-utente OpenID, la disabilitazione di un utente blocca solo i futuri accessi tramite login OpenID per tale identità, mentre i token di sessione Actual esistenti per l'utente disabilitato rimangono validi. Il percorso di convalida della sessione condivisa accetta qualsiasi riga del token esistente non ancora scaduta senza verificare se l'utente associato è ancora abilitato, consentendo a un utente disabilitato di continuare ad accedere agli endpoint server autenticati. Questo problema è stato risolto nella versione 26.6.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

28/05/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!