CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28785

Critical
Published: Translated: NVD NIST

Summary

Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.244.0, omijając walidację symboli, atakujący mógł wykonać dowolne polecenia SQL za pomocą metody getHistorical(), co potencjalnie pozwalało na odczyt, modyfikację lub usunięcie wrażliwych danych finansowych wszystkich użytkowników w bazie danych.

Risk Assessment

Organizacja może być narażona na utratę poufnych danych finansowych oraz na nieautoryzowane modyfikacje danych, co może prowadzić do poważnych konsekwencji prawnych i finansowych.

Recommendation

Zaleca się aktualizację oprogramowania do wersji 2.244.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony danych finansowych.

Original NVD description (English source)

Ghostfolio is an open source wealth management software. Prior to version 2.244.0, by bypassing symbol validation, an attacker can execute arbitrary SQL commands via the getHistorical() method, potentially allowing them to read, modify, or delete sensitive financial data for all users in the database. This issue has been patched in version 2.244.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS