CVE-2025-54591 in FreshRSS
الملخص
بحسب VulDB • 25/05/2026
FreshRSS هو مجمع RSS مجاني وقابل للاستضافة الذاتية. تتعرض الإصدارات 1.26.3 وما دونها لتسريب معلومات حول التغذية (Feeds) والوسوم (Tags) الخاصة بمستخدمي المسؤول الافتراضيين، وذلك بسبب عدم وجود فحص للصلاحيات في دالة `FreshRSS_Auth::hasAccess()` التي تستخدمها بعض نقاط النهاية (Endpoints) المتعلقة بالوسوم والتغذية. عادةً ما تحتوي وحدات تحكم (Controllers) FreshRSS على طريقة `firstAction()` محددة مع تجاوز (Override) لضمان اشتراط الصلاحية لكل إجراء. إذا لم تكن هذه الطريقة موجودة، فيجب على كل إجراء التحقق من الصلاحية يدوياً، وتستخدم بعض نقاط النهاية لا طريقة `firstAction()` ولا تقوم بفحص الصلاحية يدوياً. تم إصلاح هذه المشكلة في الإصدار 1.27.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.