CVE-2025-54591 in FreshRSSinformation

Résumé

par VulDB • 12/06/2026

FreshRSS est un agrégateur RSS gratuit et auto-hébergeable. Les versions 1.26.3 et inférieures exposent des informations concernant les flux (feeds) et les étiquettes (tags) des utilisateurs administrateurs par défaut, en raison d'un manque de vérification d'accès dans la fonction FreshRSS_Auth::hasAccess() utilisée par certaines des extrémités liées aux tags/flux. Les contrôleurs FreshRSS disposent généralement d'une méthode firstAction() définie avec une substitution (override) afin de garantir que chaque action nécessite un accès autorisé. Si cette méthode n'est pas présente, chaque action doit vérifier manuellement l'accès ; or, certaines extrémités utilisent ni la méthode firstAction(), ni ne réalisent de vérification d'accès manuelle. Ce problème est corrigé dans la version 1.27.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

25/07/2025

Divulgation

30/09/2025

Modérer

accepté

Entrée

VDB-326350

CPE

prêt

EPSS

0.00398

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!