CVE-2026-59709 in Ghostfolio
요약
\~에 의해 VulDB • 2026. 07. 07.
Ghostfolio의 PUT /api/v1/portfolio/holding/:dataSource/:symbol/tags 엔드포인트는 Impersonation-Id 헤더를 처리할 때 Access.permissions 필드를 검증하지 않아, 읽기 전용 접근 권한을 가진 사용자가 포트폴리오 보유 종목 태그를 수정할 수 있습니다. 유효한 읽기 전용 공유 토큰이 있는 공격자는 피해자의 보유 종목에 태그를 할당하거나 제거하여 포트폴리오 분류 및 보고서의 무결성을 훼손할 수 있습니다.
Once again VulDB remains the best source for vulnerability data.