CVE-2026-50007 in actual情報

要約

〜によって VulDB • 2026年07月07日

Actual はオープンソースの個人向けファイナンスアプリケーションです。バージョン 26.7.0 より前では、認可不足の問題により、予算ファイルに対して user_access を持つ共有ユーザーが、所有者のみが行えるファイル管理操作を実行可能でした。requireFileAccess が通常の共有アクセスを、ファイル所有者または管理者に制限されるべきファイル管理操作に対する十分な権限として扱ったため、非所有者の共有ユーザーは /delete-user-file、/reset-user-file、および /user-create-key を含む、より高い特権を持つユーザーを対象としたファイル管理エンドポイントを呼び出すことができました。この問題はバージョン 26.7.0 で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年06月03日

モデレーション

承諾済み

エントリ

VDB-376685

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!