CVE-2025-54591 in FreshRSS情報

要約

〜によって VulDB • 2026年06月12日

FreshRSSは、無料で自己ホスト可能なRSSアグリゲーターです。バージョン1.26.3およびそれ以前のバージョンでは、タグやフィードに関連する一部のエンドポイントで使用される FreshRSS_Auth::hasAccess() 関数にアクセスチェックが実装されていないため、デフォルトの管理者ユーザーに関するフィードとタグの情報漏洩が発生します。通常、FreshRSSコントローラーには firstAction() メソッドが定義されており、すべてのアクションでアクセス権限が必要であることを確認するためのオーバーライドが行われます。しかし、このメソッドが存在しない場合、各アクションは手動でアクセスチェックを行う必要がありますが、特定のエンドポイントでは firstAction() メソッドも使用されておらず、手動でのアクセスチェックも行われていません。本問題はバージョン1.27.0で修正されています。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2025年07月25日

モデレーション

承諾済み

エントリ

VDB-326350

EPSS

0.00398

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!