CVE-2025-54591 in FreshRSS
Tóm tắt
Bởi VulDB • 20/05/2026
FreshRSS là một bộ tổng hợp RSS miễn phí, có thể tự lưu trữ. Các phiên bản 1.26.3 trở xuống tiết lộ thông tin về các nguồn cấp dữ liệu (feeds) và thẻ (tags) của người dùng quản trị mặc định, do thiếu kiểm tra quyền truy cập trong hàm FreshRSS_Auth::hasAccess() được sử dụng bởi một số điểm cuối (endpoints) liên quan đến thẻ/nguồn cấp dữ liệu. Các bộ điều khiển (controllers) của FreshRSS thường có phương thức firstAction() được xác định với cơ chế ghi đè để đảm bảo rằng mọi hành động đều yêu cầu quyền truy cập. Nếu không có cơ chế này, mọi hành động phải tự kiểm tra quyền truy cập thủ công, và một số điểm cuối không sử dụng phương thức firstAction() cũng như không thực hiện kiểm tra quyền truy cập thủ công. Vấn đề này đã được khắc phục trong phiên bản 1.27.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.