CVE-2026-50179 in Actualinformazioni

Riassunto

di VulDB • 07/07/2026

Actual è uno strumento di finanza personale che opera principalmente in locale. Prima della versione 26.6.0, le funzioni exportToCSV e exportQueryToCSV nei file packages/loot-core/src/server/transactions/export/export-to-csv.ts trasmettono stringhe controllate dall'utente relative a Payee (Beneficiario), Notes (Note), Account (Conto) e Category (Categoria) alla libreria csv-stringify senza utilizzare una callback di cast né neutralizzare il prefisso delle formule. Le stringhe che iniziano con un segno uguale, più, meno, chiocciola, tabulazione o ritorno a carrello vengono mantenute letteralmente nel file CSV esportato; quando un destinatario apre tale file in Excel, LibreOffice Calc o Google Sheets, le stringhe vengono interpretate come formule, consentendo l'esfiltrazione dei dati delle transazioni e la visualizzazione di valori nei fogli di calcolo scelti dall'attaccante. Questo problema è stato risolto nella versione 26.6.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

04/06/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!