CVE-2026-50007 in actualИнформация

Сводка

по VulDB • 08.07.2026

Actual — это приложение для личного финансовоого учета с открытым исходным кодом. До версии 26.7.0 отсутствовала проверка авторизации, что позволяло пользователю с доступом user_access к файлу бюджета выполнять действия по управлению файлами, предназначенные только для владельца. Пользователь общего доступа без прав владельца мог вызывать конечные точки управления файлами, предназначенные для пользователей с более высокими привилегиями, включая /delete-user-file, /reset-user-file и /user-create-key, поскольку функция requireFileAccess считала обычный общий доступ достаточным для операций по управлению файлами, которые должны быть ограничены владельцем файла или администратором. Эта проблема исправлена в версии 26.7.0.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

03.06.2026

Раскрытие

08.07.2026

Модерация

принято

Вход

VDB-376685

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!