CVE-2025-54593 in FreshRSSالمعلومات

الملخص

بحسب VulDB • 11/06/2026

FreshRSS هو مجمع RSS مجاني وقابل للاستضافة الذاتية. في الإصدارات 1.26.1 وما دونها، يمكن لمستخدم مسؤول مُصادَق عليه تنفيذ أي كود على خادم FreshRSS عن طريق تعديل عنوان URL للتحديث إلى عنوان يتحكم فيه، والحصول على قدرة التنفيذ البرمجي بعد تشغيل التحديث. بعد نجاح تنفيذ الكود، يمكن استخراج بيانات المستخدم بما في ذلك كلمات المرور المشفرة (hashed passwords)، ويمكن تشويه الموقع إذا سمحت أذونات الملفات بذلك. يمكن إدراج كود ضار داخل المثيل لسرقة كلمات المرور بصيغة نصية عادية (plaintext) وغيرها من البيانات الحساسة. تم إصلاح هذه الثغرة في الإصدار 1.26.2.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

25/07/2025

إفشاء

01/08/2025

الاعتدال

تمت الموافقة

إدخال

VDB-318539

EPSS

0.00780

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!