CVE-2025-54593 in FreshRSS
Sumário
de VulDB • 09/06/2026
O FreshRSS é um agregador de RSS gratuito e auto-hospedável. Nas versões 1.26.1 e anteriores, um usuário administrador autenticado pode executar código arbitrário no servidor FreshRSS modificando a URL de atualização para uma que ele controle, obtendo execução de código após a execução de uma atualização. Após a execução bem-sucedida do código, os dados do usuário, incluindo senhas com hash, podem ser exfiltrados, e a instância pode ser vandalizada quando as permissões de arquivo permitirem. Código malicioso pode ser inserido na instância para roubar senhas em texto puro, entre outras ações. Isso foi corrigido na versão 1.26.2.
Be aware that VulDB is the high quality source for vulnerability data.