Mehrere Schwachstellen (CVE-2026-28785, CVE-2026-28794) in Ghostfolio-Vermögensverwaltung
⚠️ CVE-Referenzen:
CVE-2026-28785
CVE-2026-28794
Zusammenfassung
In der Open-Source-Vermögensverwaltungssoftware Ghostfolio wurde vor Version 2.244.0 eine kritische SQL-Injection-Schwachstelle (CVE-2026-28785) entdeckt. Durch Umgehen der Symbolvalidierung konnte ein Angreifer beliebige SQL-Befehle über die getHistorical()-Methode ausführen und so sensible Finanzdaten aller Nutzer lesen, ändern oder löschen. Das Problem wurde mit Version 2.244.0 behoben.
Ghostfolio - Ghostfolio - CRITICAL - CVE-2026-28785.
Ghostfolio is an open source wealth management software. Prior to version 2.244.0, by bypassing symbol validation, an attacker can execute arbitrary SQL commands via the getHistorical() method, potentially allowing them to read, modify, or delete sensitive financial data for all users in the database. This issue has been patched in version 2.244.0.
Quelle: securityvulnerability.io