CVE-2026-28785
CriticalSummary
Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.244.0, omijając walidację symboli, atakujący mógł wykonać dowolne polecenia SQL za pomocą metody getHistorical(), co potencjalnie pozwalało na odczyt, modyfikację lub usunięcie wrażliwych danych finansowych wszystkich użytkowników w bazie danych.
Risk Assessment
Organizacja może być narażona na utratę poufnych danych finansowych oraz na nieautoryzowane modyfikacje danych, co może prowadzić do poważnych konsekwencji prawnych i finansowych.
Recommendation
Zaleca się aktualizację oprogramowania do wersji 2.244.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony danych finansowych.
Original NVD description (English source)
Ghostfolio is an open source wealth management software. Prior to version 2.244.0, by bypassing symbol validation, an attacker can execute arbitrary SQL commands via the getHistorical() method, potentially allowing them to read, modify, or delete sensitive financial data for all users in the database. This issue has been patched in version 2.244.0.

