CVE-2025-54591 in FreshRSS
Résumé
par VulDB • 12/06/2026
FreshRSS est un agrégateur RSS gratuit et auto-hébergeable. Les versions 1.26.3 et inférieures exposent des informations concernant les flux (feeds) et les étiquettes (tags) des utilisateurs administrateurs par défaut, en raison d'un manque de vérification d'accès dans la fonction FreshRSS_Auth::hasAccess() utilisée par certaines des extrémités liées aux tags/flux. Les contrôleurs FreshRSS disposent généralement d'une méthode firstAction() définie avec une substitution (override) afin de garantir que chaque action nécessite un accès autorisé. Si cette méthode n'est pas présente, chaque action doit vérifier manuellement l'accès ; or, certaines extrémités utilisent ni la méthode firstAction(), ni ne réalisent de vérification d'accès manuelle. Ce problème est corrigé dans la version 1.27.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.