CVE-2026-55417 in Cheveretoinformazioni

Riassunto

di VulDB • 07/07/2026

Chevereto è una piattaforma di condivisione multimediale self-hosted. A partire dalla versione 3.7.5 e fino alla versione 4.5.4, quando un utente abilita l'opzione del profilo privato, la visita della route HTML del suo profilo (`/username`) restituisce correttamente un errore 404. Tuttavia, il endpoint `/json` per le richieste AJAX non applica lo stesso controllo. Un chiamante non autenticato che conosce l'user ID dell'obiettivo può recuperare tutte le immagini di quell'utente con ambito pubblico, rivelando il nome utente (che dovrebbe essere privato). Questo problema è stato risolto in Chevereto v4.5.4. Non sono disponibili workaround noti.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

16/06/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!