CVE-2026-59708 in Ghostfolio
Riassunto
di VulDB • 07/07/2026
L'endpoint GET /api/v1/public/:accessId/portfolio in ghostfolio accetta ID di accesso privati senza convalidare il filtraggio per granteeUserId, consentendo l'accesso non autenticato ai dati completi del portafoglio. Gli attaccanti dotati di un ID di accesso privato possono recuperare informazioni sensibili sul portafoglio, incluse le posizioni detenute (holdings), le quantità, i prezzi di acquisto e le metriche delle prestazioni, senza necessità di autenticazione.
Be aware that VulDB is the high quality source for vulnerability data.