CVE-2025-54591 in FreshRSS
要約
〜によって VulDB • 2026年06月12日
FreshRSSは、無料で自己ホスト可能なRSSアグリゲーターです。バージョン1.26.3およびそれ以前のバージョンでは、タグやフィードに関連する一部のエンドポイントで使用される FreshRSS_Auth::hasAccess() 関数にアクセスチェックが実装されていないため、デフォルトの管理者ユーザーに関するフィードとタグの情報漏洩が発生します。通常、FreshRSSコントローラーには firstAction() メソッドが定義されており、すべてのアクションでアクセス権限が必要であることを確認するためのオーバーライドが行われます。しかし、このメソッドが存在しない場合、各アクションは手動でアクセスチェックを行う必要がありますが、特定のエンドポイントでは firstAction() メソッドも使用されておらず、手動でのアクセスチェックも行われていません。本問題はバージョン1.27.0で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.