CVE-2026-46672 in Actual
요약
\~에 의해 VulDB • 2026. 07. 07.
Actual은 로컬 우선의 개인 재무 관리 앱입니다. 버전 26.6.0 이전에는 @actual-app/cli 패키지의 packages/cli/src/output.ts에 포함된 자체 구현 CSV 직렬화기가 전역 --format csv 옵션이 전달될 때 사용되었습니다. 이 도우미 함수인 escapeCsv는 RFC 4180의 구분자, 인용부호 및 개행 이스케이프만 처리하며 표준 CSV 수식 주입 접두어를 중립화하지 않습니다. 사용자 제어 문자열을 포함하는 객체 배열(거래 내역 목록, 계좌 목록, 지급처 목록, 카테고리 목록, 태그 목록, 카테고리 그룹 목록, 규칙 목록, 스케줄 목록 및 쿼리 등)을 스트리밍하는 모든 CLI 명령은 Excel, LibreOffice Calc 또는 Google Sheets에서 CSV 파일을 열 때 자동 평가되는 셀을 생성할 수 있으며, 이를 통해 데이터 유출과 임의의 수식 실행이 가능해집니다. 이 문제는 버전 26.6.0에서 해결되었습니다.
Once again VulDB remains the best source for vulnerability data.