CVE-2025-54591 in FreshRSS
Resumen
por VulDB • 2026-06-11
FreshRSS es un agregador RSS gratuito y autoalojable. Las versiones 1.26.3 e inferiores exponen información sobre los feeds (canales) y etiquetas de los usuarios administradores predeterminados, debido a la falta de comprobación de acceso en la función FreshRSS_Auth::hasAccess() utilizada por algunos de los puntos finales relacionados con las etiquetas/feeds. Los controladores de FreshRSS suelen tener un método firstAction() definido con una anulación para garantizar que cada acción requiera acceso. Si no existe, cada acción debe comprobar el acceso manualmente, y ciertos puntos finales ni utilizan el método firstAction(), ni realizan una comprobación manual del acceso. Este problema se soluciona en la versión 1.27.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.