CVE-2025-54591 in FreshRSSinformación

Resumen

por VulDB • 2026-06-11

FreshRSS es un agregador RSS gratuito y autoalojable. Las versiones 1.26.3 e inferiores exponen información sobre los feeds (canales) y etiquetas de los usuarios administradores predeterminados, debido a la falta de comprobación de acceso en la función FreshRSS_Auth::hasAccess() utilizada por algunos de los puntos finales relacionados con las etiquetas/feeds. Los controladores de FreshRSS suelen tener un método firstAction() definido con una anulación para garantizar que cada acción requiera acceso. Si no existe, cada acción debe comprobar el acceso manualmente, y ciertos puntos finales ni utilizan el método firstAction(), ni realizan una comprobación manual del acceso. Este problema se soluciona en la versión 1.27.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2025-07-25

Divulgación

2025-09-30

Moderación

aceptado

Artículo

VDB-326350

CPE

listo

EPSS

0.00398

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!