Actualbudget

Actual

3 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
6.5

CVE-2026-3089

Exploit
  • EPSS 0.02%
  • Veröffentlicht 09.03.2026 14:08:55
  • Zuletzt bearbeitet 09.04.2026 21:01:46

Actual Sync Server allows authenticated users to upload files through POST /sync/upload-user-file. In versions prior to 26.3.0, improper validation of the user-controlled x-actual-file-id header means that traversal segments (../) can escape the inte...

7.1

CVE-2026-27638

Exploit
  • EPSS 0.03%
  • Veröffentlicht 26.02.2026 22:14:21
  • Zuletzt bearbeitet 27.02.2026 17:03:28

Actual is a local-first personal finance tool. Prior to version 26.2.1, in multi-user mode (OpenID), the sync API endpoints (`/sync/*`) don't verify that the authenticated user owns or has access to the file being operated on. Any authenticated user ...

7.5

CVE-2026-27584

Exploit
  • EPSS 0.16%
  • Veröffentlicht 24.02.2026 14:59:21
  • Zuletzt bearbeitet 26.02.2026 19:46:14

Actual is a local-first personal finance tool. Prior to version 26.2.1, missing authentication middleware in the ActualBudget server component allows any unauthenticated user to query the SimpleFIN and Pluggy.ai integration endpoints and read sensiti...