Plataforma
nodejs
Componente
@actual-app/sync-server
Corregido en
26.2.2
26.2.1
La vulnerabilidad CVE-2026-27584 afecta al componente ActualBudget Sync Server, específicamente a las integraciones SimpleFIN y Pluggy.ai. Esta falta de autenticación permite a atacantes no autenticados acceder y leer información sensible, como saldos y transacciones bancarias de los usuarios de ActualBudget. La vulnerabilidad impacta a todas las instancias de ActualBudget Server con estas integraciones configuradas y que sean accesibles a través de la red. Se recomienda actualizar a la versión 26.2.1 para solucionar este problema.
La principal consecuencia de esta vulnerabilidad es la exposición de información financiera confidencial. Un atacante sin autenticación puede acceder directamente a los endpoints de las integraciones SimpleFIN y Pluggy.ai, obteniendo acceso a los saldos de las cuentas bancarias y al historial de transacciones de los usuarios de ActualBudget. El alcance de la exposición depende de la configuración de la red y la visibilidad de la instancia de ActualBudget Server. Si el servidor es accesible desde Internet, el riesgo es significativamente mayor. La falta de autenticación simplifica enormemente el proceso de ataque, eliminando la necesidad de credenciales o técnicas de fuerza bruta. Esta vulnerabilidad podría ser explotada para robo de identidad, fraude financiero y otros ataques maliciosos.
La vulnerabilidad CVE-2026-27584 fue publicada el 2026-02-24. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. La severidad del CVSS es 9.5 (CRÍTICO), lo que indica una alta probabilidad de explotación. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la simplicidad de la vulnerabilidad sugiere que podrían aparecer en breve. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Users of ActualBudget who have integrated SimpleFIN or Pluggy.ai are directly at risk. This includes individuals and businesses relying on these integrations for financial data synchronization. Specifically, those running older versions of the ActualBudget Sync Server are vulnerable, particularly those with publicly accessible server instances.
• nodejs / server:
curl -I http://<actualbudget_server>/simplefin/balance
curl -I http://<actualbudget_server>/pluggyai/transactions• generic web:
curl -I http://<actualbudget_server>/simplefin/balance
curl -I http://<actualbudget_server>/pluggyai/transactions• generic web:
grep -r "/simplefin/balance" /var/log/nginx/access.log
grep -r "/pluggyai/transactions" /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
0.11% (29% percentil)
CISA SSVC
La solución principal para mitigar esta vulnerabilidad es actualizar a la versión 26.2.1 de ActualBudget Sync Server, que incluye la corrección de la falta de autenticación. Si la actualización a la versión 26.2.1 no es inmediatamente posible, se recomienda aislar la instancia de ActualBudget Server en una red interna con acceso restringido. Implementar reglas de firewall para bloquear el acceso no autorizado a los endpoints de las integraciones SimpleFIN y Pluggy.ai puede proporcionar una capa adicional de protección. Monitorear los logs del servidor en busca de accesos no autorizados a estos endpoints es crucial para detectar posibles intentos de explotación. Aunque no existe una solución de WAF específica, configurar reglas para bloquear peticiones a los endpoints de integración sin autenticación podría ser una medida temporal.
Actualice ActualBudget Server a la versión 26.2.1 o superior. Esta versión corrige la falta de autenticación en los endpoints de SimpleFIN y Pluggy.ai. Asegúrese de que la instancia de ActualBudget Server no sea accesible públicamente hasta que se haya actualizado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27584 is a critical vulnerability in ActualBudget Sync Server that allows unauthenticated users to access sensitive bank data through SimpleFIN and Pluggy.ai integrations due to a missing authentication check.
You are affected if you use ActualBudget Sync Server and have the SimpleFIN or Pluggy.ai integrations enabled, and are running a version prior to 26.2.1.
Upgrade ActualBudget Sync Server to version 26.2.1 or later to mitigate the vulnerability. Back up your server before upgrading.
There is currently no confirmed active exploitation, but the vulnerability's simplicity suggests it may be exploited in the future.
Refer to the official ActualBudget security advisory for detailed information and updates regarding CVE-2026-27584.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.