CVE-2026-28785
KrytyczneStreszczenie
Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.244.0, omijając walidację symboli, atakujący mógł wykonać dowolne polecenia SQL za pomocą metody getHistorical(), co potencjalnie pozwalało na odczyt, modyfikację lub usunięcie wrażliwych danych finansowych wszystkich użytkowników w bazie danych.
Ocena ryzyka
Organizacja może być narażona na utratę poufnych danych finansowych oraz na nieautoryzowane modyfikacje danych, co może prowadzić do poważnych konsekwencji prawnych i finansowych.
Rekomendacja
Zaleca się aktualizację oprogramowania do wersji 2.244.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony danych finansowych.
Oryginalny opis (angielski, źródło NVD)
Ghostfolio is an open source wealth management software. Prior to version 2.244.0, by bypassing symbol validation, an attacker can execute arbitrary SQL commands via the getHistorical() method, potentially allowing them to read, modify, or delete sensitive financial data for all users in the database. This issue has been patched in version 2.244.0.

