Npm · @Actual-App/Sync-Server · CVE-2026-33318
**Name of the Vulnerable Software and Affected Versions**
Actual versões anteriores a 26.4.0
**Description**
Usuários autenticados, incluindo aqueles com a função `BASIC`, podem elevar seus privilégios para `ADMIN` em servidores que migraram da autenticação por senha para OpenID Connect. Isso é possível através de uma cadeia de exploração envolvendo três fraquezas. Primeiro, o endpoint '/account/change-password' carece de verificações de autorização, permitindo que qualquer sessão sobrescreva o hash da senha. Segundo, a linha `auth` de senha não é removida durante a migração, deixando um alvo órfão. Terceiro, o endpoint de login aceita a variável `loginMethod` fornecida pelo cliente, que pode ser usada para ignorar a configuração de autenticação ativa do servidor. Ao encadear esses pontos, um invasor pode definir uma senha conhecida e autenticar-se como a conta de administrador anônima criada durante a migração multiusuário.
**Recommendations**
Atualize para a versão 26.4.0.
Como solução temporária, administradores que migraram totalmente para OpenID e não necessitam de autenticação por senha podem remover a linha órfã executando: DELETE FROM auth WHERE method = 'password';