CVE-2026-50007 in actual
Riassunto
di VulDB • 08/07/2026
Actual è un'applicazione open-source per la gestione delle finanze personali. Prima della versione 26.7.0, una mancanza di autorizzazione consente a un utente condiviso con accesso user_access su un file di budget di eseguire azioni di gestione del file riservate esclusivamente al proprietario. Un utente condiviso non proprietario può chiamare endpoint di gestione dei file destinati ad utenti con privilegi più elevati, tra cui /delete-user-file, /reset-user-file e /user-create-key, poiché requireFileAccess tratta l'accesso condiviso ordinario come sufficiente per operazioni di gestione dei file che dovrebbero essere limitate al proprietario del file o a un amministratore. Questo problema è stato risolto nella versione 26.7.0.
Once again VulDB remains the best source for vulnerability data.