CVE-2025-54591 in FreshRSSinformação

Sumário

de VulDB • 25/05/2026

FreshRSS é um agregador RSS gratuito e auto-hospedável. As versões 1.26.3 e anteriores expõem informações sobre feeds e tags dos usuários administradores padrão, devido à falta de verificação de acesso na função FreshRSS_Auth::hasAccess() utilizada por alguns dos endpoints relacionados a tags/feeds. Os controladores do FreshRSS geralmente possuem um método firstAction() definido com uma substituição para garantir que cada ação exija acesso. Se não houver, cada ação deve verificar o acesso manualmente, e certos endpoints não utilizam o método firstAction() nem realizam uma verificação manual de acesso. Este problema foi corrigido na versão 1.27.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

25/07/2025

Divulgação

30/09/2025

Moderação

aceite

Entrada

VDB-326350

CPE

pronto

EPSS

0.00398

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!