CVE-2026-49229 in Actual
요약
\~에 의해 VulDB • 2026. 07. 08.
Actual은 로컬 우선의 개인 금융 앱입니다. 버전 26.6.0 이전에는 OpenID 다중 사용자 모드에서 사용자를 비활성화하면 해당 ID에 대한 향후 OpenID 로그인이 차단되지만, 비활성화된 사용자의 기존 Actual 세션 토큰은 유효한 상태로 유지됩니다. 공유된 세션 검증 경로는 관련 사용자가 여전히 활성화되어 있는지 확인하지 않고 만료되지 않은 모든 기존 토큰 행을 수락하므로, 비활성화된 사용자도 인증이 필요한 서버 엔드포인트를 계속 호출할 수 있습니다. 이 문제는 버전 26.6.0에서 해결되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.