CVE-2026-27584

Nome do Software Vulnerável e Versões Afetadas Versões do ActualBudget anteriores a 26.2.1

Descrição Uma verificação de autenticação ausente no componente do servidor do ActualBudget permite que usuários não autenticados acessem os endpoints de integração do SimpleFIN e Pluggy.ai. Isso permite que um atacante leia informações sensíveis de saldo de conta bancária e transações de usuários do ActualBudget que tenham essas integrações habilitadas. Os endpoints vulneráveis são: /simplefin/status, /simplefin/accounts, /simplefin/transactions, /pluggyai/status, /pluggyai/accounts e /pluggyai/transactions. A instância do servidor deve estar acessível pela rede para que a exploração ocorra. O código-fonte vulnerável está localizado no repositório do GitHub actualbudget/actual dentro dos arquivos packages/sync-server/src/app-simplefin/app-simplefin.js e packages/sync-server/src/app-pluggyai/app-pluggyai.js. Um exemplo de uma integração devidamente autenticada é encontrado em packages/sync-server/src/app-gocardless/app-gocardless.js. A exploração pode ser realizada usando comandos curl para consultar os endpoints sem autenticação, recuperando detalhes da conta e histórico de transações. As respostas de exemplo incluem nomes de contas, saldos, detalhes de transações e metadados associados.

Recomendações Atualize para a versão 26.2.1 ou posterior para resolver este problema.