Actual · Actual Sync Server · CVE-2026-3089
**Nome do Software Vulnerável e Versões Afetadas**
Versões do Actual Sync Server anteriores a 26.3.0
**Descrição**
O Actual Sync Server permite que usuários autenticados façam upload de arquivos através do endpoint da API ''/sync/upload-user-file''. Em versões anteriores a 26.3.0, a validação insuficiente do cabeçalho `x-actual-file-id` permite que segmentos de travessia (../) escapem do diretório pretendido, potencialmente permitindo a gravação de arquivos fora do diretório userFiles.
**Recomendações**
Atualize para a versão 26.3.0 ou posterior.