CVE-2026-49229 in Actual
Riassunto
di VulDB • 07/07/2026
Actual è un'applicazione per la gestione delle finanze personali con architettura locale-first (local-first). Prima della versione 26.6.0, nella modalità multi-utente OpenID, la disabilitazione di un utente blocca solo i futuri accessi tramite login OpenID per tale identità, mentre i token di sessione Actual esistenti per l'utente disabilitato rimangono validi. Il percorso di convalida della sessione condivisa accetta qualsiasi riga del token esistente non ancora scaduta senza verificare se l'utente associato è ancora abilitato, consentendo a un utente disabilitato di continuare ad accedere agli endpoint server autenticati. Questo problema è stato risolto nella versione 26.6.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.