CVE-2026-42604
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 - wyżej niż 32% wszystkich znanych CVE
Streszczenie
Wersje sync-server Actual Budget do 26.4.0 ujawniają pełną konfigurację OpenID Connect, w tym `client_secret` OAuth2, każdemu, kto zna hasło bootstrap. Endpoint nie wymaga uwierzytelnienia i nie ma limitu liczby prób, co umożliwia atak brute-force.
Ocena ryzyka
Ujawnienie `client_secret` może prowadzić do nieautoryzowanego dostępu do zasobów oraz potencjalnych nadużyć w systemie. Organizacje powinny być świadome ryzyka związanego z bezpieczeństwem danych finansowych użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 26.5.0, która naprawia tę podatność. Dodatkowo, warto wdrożyć silniejsze mechanizmy uwierzytelniania i ograniczenia liczby prób logowania.
Oryginalny opis (angielski, źródło NVD)
Actual is a local-first personal finance tool. The `POST /openid/config` endpoint in Actual Budget's sync-server versions <= 26.4.0 exposes the full OpenID Connect configuration—including the OAuth2 `client_secret`—to any caller who knows the bootstrap password. The endpoint also lacks authentication and rate limiting, making the bootstrap password brute-forceable. Version 26.5.0 fixes the issue.

