Katalog CVE

CVE-2026-42890

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

Aplikacja Actual, będąca otwartoźródłowym narzędziem do zarządzania finansami osobistymi, w wersji desktopowej dla macOS 25.x (opartej na Electron 39.2.7) nie wyłącza zmiennej ELECTRON_RUN_AS_NODE. To pozwala atakującemu na uruchomienie binarnego pliku Actual.app z tą zmienną, co przekształca aplikację w REPL Node.js zdolne do wykonywania dowolnego kodu.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do uruchomienia złośliwego kodu, który dziedziczy uprawnienia i podpis kodu aplikacji, co omija przegląd Gatekeepera w macOS. Może to skutkować poważnymi zagrożeniami dla bezpieczeństwa danych użytkowników.

Rekomendacja

Zaleca się aktualizację aplikacji Actual do wersji 26.5.0, która naprawia tę podatność. Dodatkowo, należy monitorować i ograniczać możliwość umieszczania plików na dysku przez nieautoryzowane podmioty.

Oryginalny opis (angielski, źródło NVD)

Actual is an open-source personal finance application. In the macOS desktop application version 25.x (built on Electron 39.2.7), the ELECTRON_RUN_AS_NODE fuse is not disabled, allowing an attacker who can place a file on disk or control command-line arguments to invoke the signed Actual.app binary with the ELECTRON_RUN_AS_NODE=1 environment variable set. This converts the application into a Node.js REPL capable of executing arbitrary code that inherits the application's entitlements and code signature, bypassing macOS Gatekeeper review. Version 26.5.0 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS