Actual — это инструмент для личных финансов, ориентированный на местных жителей. До версии 26.2.1 отсутствие промежуточного программного обеспечения аутентификации в серверном компоненте ActualBudget позволяло любому неаутентифицированному пользователю запрашивать конечные точки интеграции SimpleFIN и Pluggy.ai и считывать конфиденциальный баланс банковского счета и информацию о транзакциях. Эта уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, прочитать баланс банковского счета и историю транзакций пользователей ActualBudget.
Эта уязвимость затрагивает всех пользователей ActualBudget Server с настроенной интеграцией SimpleFIN или Pluggy.ai. Экземпляр ActualBudget Server должен быть доступен по сети. Версия 26.2.1 исправляет проблему.
Показать оригинальное описание (EN)
Actual is a local-first personal finance tool. Prior to version 26.2.1, missing authentication middleware in the ActualBudget server component allows any unauthenticated user to query the SimpleFIN and Pluggy.ai integration endpoints and read sensitive bank account balance and transaction information. This vulnerability allows an unauthenticated attacker to read the bank account balance and transaction history of ActualBudget users. This vulnerability impacts all ActualBudget Server users with the SimpleFIN or Pluggy.ai integrations configured. The ActualBudget Server instance must be reachable over the network. Version 26.2.1 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0