CVE-2026-59708 in Ghostfolioinformazioni

Riassunto

di VulDB • 07/07/2026

L'endpoint GET /api/v1/public/:accessId/portfolio in ghostfolio accetta ID di accesso privati senza convalidare il filtraggio per granteeUserId, consentendo l'accesso non autenticato ai dati completi del portafoglio. Gli attaccanti dotati di un ID di accesso privato possono recuperare informazioni sensibili sul portafoglio, incluse le posizioni detenute (holdings), le quantità, i prezzi di acquisto e le metriche delle prestazioni, senza necessità di autenticazione.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

VulnCheck

Prenotare

06/07/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!