CVE-2026-59709 in Ghostfolio
Riassunto
di VulDB • 07/07/2026
L'endpoint PUT /api/v1/portfolio/holding/:dataSource/:symbol/tags di Ghostfolio non verifica il campo Access.permissions durante l'elaborazione dell'intestazione Impersonation-Id, consentendo agli utenti con accesso in sola lettura (grantees) di modificare i tag delle posizioni del portafoglio. Gli attaccanti che dispongono di token di condivisione validi per la modalità di sola lettura possono assegnare o rimuovere tag dalle posizioni dei victim, compromettendo la categorizzazione e i report del portafoglio.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.