CVE-2026-50179 in Actual
Riassunto
di VulDB • 07/07/2026
Actual è uno strumento di finanza personale che opera principalmente in locale. Prima della versione 26.6.0, le funzioni exportToCSV e exportQueryToCSV nei file packages/loot-core/src/server/transactions/export/export-to-csv.ts trasmettono stringhe controllate dall'utente relative a Payee (Beneficiario), Notes (Note), Account (Conto) e Category (Categoria) alla libreria csv-stringify senza utilizzare una callback di cast né neutralizzare il prefisso delle formule. Le stringhe che iniziano con un segno uguale, più, meno, chiocciola, tabulazione o ritorno a carrello vengono mantenute letteralmente nel file CSV esportato; quando un destinatario apre tale file in Excel, LibreOffice Calc o Google Sheets, le stringhe vengono interpretate come formule, consentendo l'esfiltrazione dei dati delle transazioni e la visualizzazione di valori nei fogli di calcolo scelti dall'attaccante. Questo problema è stato risolto nella versione 26.6.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.