Katalog CVE

CVE-2026-42604

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.40%

Percentyl 32 - wyżej niż 32% wszystkich znanych CVE

Streszczenie

Wersje sync-server Actual Budget do 26.4.0 ujawniają pełną konfigurację OpenID Connect, w tym `client_secret` OAuth2, każdemu, kto zna hasło bootstrap. Endpoint nie wymaga uwierzytelnienia i nie ma limitu liczby prób, co umożliwia atak brute-force.

Ocena ryzyka

Ujawnienie `client_secret` może prowadzić do nieautoryzowanego dostępu do zasobów oraz potencjalnych nadużyć w systemie. Organizacje powinny być świadome ryzyka związanego z bezpieczeństwem danych finansowych użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 26.5.0, która naprawia tę podatność. Dodatkowo, warto wdrożyć silniejsze mechanizmy uwierzytelniania i ograniczenia liczby prób logowania.

Oryginalny opis (angielski, źródło NVD)

Actual is a local-first personal finance tool. The `POST /openid/config` endpoint in Actual Budget's sync-server versions <= 26.4.0 exposes the full OpenID Connect configuration—including the OAuth2 `client_secret`—to any caller who knows the bootstrap password. The endpoint also lacks authentication and rate limiting, making the bootstrap password brute-forceable. Version 26.5.0 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS