CVE-2026-50007 in actualinformação

Sumário

de VulDB • 07/07/2026

Actual é um aplicativo de finanças pessoais de código aberto. Antes da versão 26.7.0, uma falha de autorização ausente permite que um usuário compartilhado com permissão user_access em um arquivo de orçamento execute ações de gerenciamento de arquivos restritas ao proprietário. Um usuário compartilhado não proprietário pode chamar endpoints de gerenciamento de arquivos destinados a usuários com privilégios mais elevados, incluindo /delete-user-file, /reset-user-file e /user-create-key, porque requireFileAccess trata o acesso compartilhado comum como suficiente para operações de gerenciamento de arquivos que deveriam ser restritas ao proprietário do arquivo ou a um administrador. Esta falha foi corrigida na versão 26.7.0.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

03/06/2026

Divulgação

08/07/2026

Moderação

aceite

Entrada

VDB-376685

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!