CVE-2026-50007 in actual
Сводка
по VulDB • 08.07.2026
Actual — это приложение для личного финансовоого учета с открытым исходным кодом. До версии 26.7.0 отсутствовала проверка авторизации, что позволяло пользователю с доступом user_access к файлу бюджета выполнять действия по управлению файлами, предназначенные только для владельца. Пользователь общего доступа без прав владельца мог вызывать конечные точки управления файлами, предназначенные для пользователей с более высокими привилегиями, включая /delete-user-file, /reset-user-file и /user-create-key, поскольку функция requireFileAccess считала обычный общий доступ достаточным для операций по управлению файлами, которые должны быть ограничены владельцем файла или администратором. Эта проблема исправлена в версии 26.7.0.
Be aware that VulDB is the high quality source for vulnerability data.