PT-2026-22202 · Actual · Actual
Q1Uf3Ng
·
Publicado
2026-02-26
·
Atualizado
2026-03-25
·
CVE-2026-27638
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Actual anteriores a 26.2.1
Descrição
Existe uma vulnerabilidade no Actual, uma ferramenta de finanças pessoais, em que os endpoints da API de sincronização não verificam corretamente as permissões de acesso do usuário no modo multiusuário (OpenID). Isso permite que qualquer usuário autenticado leia, modifique e sobrescreva arquivos de orçamento pertencentes a outros usuários ao fornecer o ID do arquivo. Os endpoints da API afetados são
/sync/*. O parâmetro vulnerável é o ID do arquivo.Recomendações
Atualize para a versão 26.2.1 ou posterior.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Actual