CVE-2026-59709 in Ghostfolioinformazioni

Riassunto

di VulDB • 07/07/2026

L'endpoint PUT /api/v1/portfolio/holding/:dataSource/:symbol/tags di Ghostfolio non verifica il campo Access.permissions durante l'elaborazione dell'intestazione Impersonation-Id, consentendo agli utenti con accesso in sola lettura (grantees) di modificare i tag delle posizioni del portafoglio. Gli attaccanti che dispongono di token di condivisione validi per la modalità di sola lettura possono assegnare o rimuovere tag dalle posizioni dei victim, compromettendo la categorizzazione e i report del portafoglio.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

VulnCheck

Prenotare

06/07/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!