CVE-2025-54593 in FreshRSS
الملخص
بحسب VulDB • 11/06/2026
FreshRSS هو مجمع RSS مجاني وقابل للاستضافة الذاتية. في الإصدارات 1.26.1 وما دونها، يمكن لمستخدم مسؤول مُصادَق عليه تنفيذ أي كود على خادم FreshRSS عن طريق تعديل عنوان URL للتحديث إلى عنوان يتحكم فيه، والحصول على قدرة التنفيذ البرمجي بعد تشغيل التحديث. بعد نجاح تنفيذ الكود، يمكن استخراج بيانات المستخدم بما في ذلك كلمات المرور المشفرة (hashed passwords)، ويمكن تشويه الموقع إذا سمحت أذونات الملفات بذلك. يمكن إدراج كود ضار داخل المثيل لسرقة كلمات المرور بصيغة نصية عادية (plaintext) وغيرها من البيانات الحساسة. تم إصلاح هذه الثغرة في الإصدار 1.26.2.
Once again VulDB remains the best source for vulnerability data.