Iamsilk

**Nome do Software Vulnerável e Versões Afetadas** Versões do ActualBudget anteriores a 26.2.1 **Descrição** Uma verificação de autenticação ausente no componente do servidor do ActualBudget permite que usuários não autenticados acessem os endpoints de integração do SimpleFIN e Pluggy.ai. Isso permite que um atacante leia informações sensíveis de saldo de conta bancária e transações de usuários do ActualBudget que tenham essas integrações habilitadas. Os endpoints vulneráveis são: `/simplefin/status`, `/simplefin/accounts`, `/simplefin/transactions`, `/pluggyai/status`, `/pluggyai/accounts` e `/pluggyai/transactions`. A instância do servidor deve estar acessível pela rede para que a exploração ocorra. O código-fonte vulnerável está localizado no repositório do GitHub `actualbudget/actual` dentro dos arquivos `packages/sync-server/src/app-simplefin/app-simplefin.js` e `packages/sync-server/src/app-pluggyai/app-pluggyai.js`. Um exemplo de uma integração devidamente autenticada é encontrado em `packages/sync-server/src/app-gocardless/app-gocardless.js`. A exploração pode ser realizada usando comandos `curl` para consultar os endpoints sem autenticação, recuperando detalhes da conta e histórico de transações. As respostas de exemplo incluem nomes de contas, saldos, detalhes de transações e metadados associados. **Recomendações** Atualize para a versão 26.2.1 ou posterior para resolver este problema.