Vulnerability Details CVE-2026-3089
Actual Sync Server allows authenticated users to upload files through POST /sync/upload-user-file. In versions prior to 26.3.0, improper validation of the user-controlled x-actual-file-id header means that traversal segments (../) can escape the intended directory and write files outside userFiles.This issue affects prior versions of Actual Sync Server 26.3.0.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 4.7%
CVSS Severity
CVSS v3 Score 6.5
References
Products affected by CVE-2026-3089
-
cpe:2.3:a:actualbudget:actual:22.12.9
-
cpe:2.3:a:actualbudget:actual:23.1.12
-
cpe:2.3:a:actualbudget:actual:23.10.0
-
cpe:2.3:a:actualbudget:actual:23.11.0
-
cpe:2.3:a:actualbudget:actual:23.12.0
-
cpe:2.3:a:actualbudget:actual:23.2.5
-
cpe:2.3:a:actualbudget:actual:23.2.9
-
cpe:2.3:a:actualbudget:actual:23.3.0
-
cpe:2.3:a:actualbudget:actual:23.3.2
-
cpe:2.3:a:actualbudget:actual:23.4.0
-
cpe:2.3:a:actualbudget:actual:23.4.1
-
cpe:2.3:a:actualbudget:actual:23.4.2
-
cpe:2.3:a:actualbudget:actual:23.5.0
-
cpe:2.3:a:actualbudget:actual:23.6.0
-
cpe:2.3:a:actualbudget:actual:23.7.0
-
cpe:2.3:a:actualbudget:actual:23.7.1
-
cpe:2.3:a:actualbudget:actual:23.7.2
-
cpe:2.3:a:actualbudget:actual:23.8.0
-
cpe:2.3:a:actualbudget:actual:23.8.1
-
cpe:2.3:a:actualbudget:actual:23.9.0
-
cpe:2.3:a:actualbudget:actual:24.1.0
-
cpe:2.3:a:actualbudget:actual:24.10.0
-
cpe:2.3:a:actualbudget:actual:24.10.1
-
cpe:2.3:a:actualbudget:actual:24.11.0
-
cpe:2.3:a:actualbudget:actual:24.12.0
-
cpe:2.3:a:actualbudget:actual:24.2.0
-
cpe:2.3:a:actualbudget:actual:24.3.0
-
cpe:2.3:a:actualbudget:actual:24.4.0
-
cpe:2.3:a:actualbudget:actual:24.5.0
-
cpe:2.3:a:actualbudget:actual:24.6.0
-
cpe:2.3:a:actualbudget:actual:24.7.0
-
cpe:2.3:a:actualbudget:actual:24.8.0
-
cpe:2.3:a:actualbudget:actual:24.9.0
-
cpe:2.3:a:actualbudget:actual:25.1.0
-
cpe:2.3:a:actualbudget:actual:25.10.0
-
cpe:2.3:a:actualbudget:actual:25.11.0
-
cpe:2.3:a:actualbudget:actual:25.12.0
-
cpe:2.3:a:actualbudget:actual:25.2.0
-
cpe:2.3:a:actualbudget:actual:25.2.1
-
cpe:2.3:a:actualbudget:actual:25.3.0
-
cpe:2.3:a:actualbudget:actual:25.3.1
-
cpe:2.3:a:actualbudget:actual:25.4.0
-
cpe:2.3:a:actualbudget:actual:25.5.0
-
cpe:2.3:a:actualbudget:actual:25.6.0
-
cpe:2.3:a:actualbudget:actual:25.6.1
-
cpe:2.3:a:actualbudget:actual:25.7.0
-
cpe:2.3:a:actualbudget:actual:25.7.1
-
cpe:2.3:a:actualbudget:actual:25.8.0
-
cpe:2.3:a:actualbudget:actual:25.9.0
-
cpe:2.3:a:actualbudget:actual:26.1.0
-
cpe:2.3:a:actualbudget:actual:26.2.0
-
cpe:2.3:a:actualbudget:actual:26.2.1