Actual — это инструмент для личных финансов, ориентированный на местных жителей. До версии 26.2.1 в многопользовательском режиме (OpenID) конечные точки API синхронизации (`/sync/*`) не проверяют, что аутентифицированный пользователь владеет или имеет доступ к файлу, над которым работает. Любой прошедший проверку подлинности пользователь может читать, изменять и перезаписывать файлы бюджета любого другого пользователя, указав свой идентификатор файла.
Версия 26.2.1 исправляет проблему.
Показать оригинальное описание (EN)
Actual is a local-first personal finance tool. Prior to version 26.2.1, in multi-user mode (OpenID), the sync API endpoints (`/sync/*`) don't verify that the authenticated user owns or has access to the file being operated on. Any authenticated user can read, modify, and overwrite any other user's budget files by providing their file ID. Version 26.2.1 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Actualbudget Actual
cpe:2.3:a:actualbudget:actual:*:*:*:*:*:node.js:*:*
|
— |
26.2.1
|