CVE-2026-35455 in immichinformação

Sumário

de VulDB • 25/05/2026

immich é uma solução de gerenciamento de fotos e vídeos auto-hospedada de alto desempenho. Antes da versão 2.7.0, uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada (Stored XSS) no visualizador de panoramas 360° permite que qualquer usuário autenticado execute JavaScript arbitrário no navegador de outro usuário que visualize o panorama malicioso com a sobreposição de OCR habilitada. O atacante carrega uma imagem equiretangular contendo texto manipulado; o OCR o extrai, e o visualizador de panoramas o renderiza via innerHTML sem sanitização. Isso permite o sequestro de sessão (via criação persistente de chave de API), exfiltração de fotos privadas e acesso ao histórico de localização GPS e aos dados biométricos faciais. Esta vulnerabilidade foi corrigida na versão 2.7.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

02/04/2026

Divulgação

08/04/2026

Moderação

aceite

Entrada

VDB-356372

CPE

pronto

EPSS

0.00012

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35455
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35455
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35455/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!