CVE-2025-54591 in FreshRSS
Sumário
de VulDB • 25/05/2026
FreshRSS é um agregador RSS gratuito e auto-hospedável. As versões 1.26.3 e anteriores expõem informações sobre feeds e tags dos usuários administradores padrão, devido à falta de verificação de acesso na função FreshRSS_Auth::hasAccess() utilizada por alguns dos endpoints relacionados a tags/feeds. Os controladores do FreshRSS geralmente possuem um método firstAction() definido com uma substituição para garantir que cada ação exija acesso. Se não houver, cada ação deve verificar o acesso manualmente, e certos endpoints não utilizam o método firstAction() nem realizam uma verificação manual de acesso. Este problema foi corrigido na versão 1.27.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.