CVE-2026-42890
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
Aplikacja Actual, będąca otwartoźródłowym narzędziem do zarządzania finansami osobistymi, w wersji desktopowej dla macOS 25.x (opartej na Electron 39.2.7) nie wyłącza zmiennej ELECTRON_RUN_AS_NODE. To pozwala atakującemu na uruchomienie binarnego pliku Actual.app z tą zmienną, co przekształca aplikację w REPL Node.js zdolne do wykonywania dowolnego kodu.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do uruchomienia złośliwego kodu, który dziedziczy uprawnienia i podpis kodu aplikacji, co omija przegląd Gatekeepera w macOS. Może to skutkować poważnymi zagrożeniami dla bezpieczeństwa danych użytkowników.
Rekomendacja
Zaleca się aktualizację aplikacji Actual do wersji 26.5.0, która naprawia tę podatność. Dodatkowo, należy monitorować i ograniczać możliwość umieszczania plików na dysku przez nieautoryzowane podmioty.
Oryginalny opis (angielski, źródło NVD)
Actual is an open-source personal finance application. In the macOS desktop application version 25.x (built on Electron 39.2.7), the ELECTRON_RUN_AS_NODE fuse is not disabled, allowing an attacker who can place a file on disk or control command-line arguments to invoke the signed Actual.app binary with the ELECTRON_RUN_AS_NODE=1 environment variable set. This converts the application into a Node.js REPL capable of executing arbitrary code that inherits the application's entitlements and code signature, bypassing macOS Gatekeeper review. Version 26.5.0 patches the issue.

