CVE-2025-54591 in FreshRSSthông tin

Tóm tắt

Bởi VulDB • 20/05/2026

FreshRSS là một bộ tổng hợp RSS miễn phí, có thể tự lưu trữ. Các phiên bản 1.26.3 trở xuống tiết lộ thông tin về các nguồn cấp dữ liệu (feeds) và thẻ (tags) của người dùng quản trị mặc định, do thiếu kiểm tra quyền truy cập trong hàm FreshRSS_Auth::hasAccess() được sử dụng bởi một số điểm cuối (endpoints) liên quan đến thẻ/nguồn cấp dữ liệu. Các bộ điều khiển (controllers) của FreshRSS thường có phương thức firstAction() được xác định với cơ chế ghi đè để đảm bảo rằng mọi hành động đều yêu cầu quyền truy cập. Nếu không có cơ chế này, mọi hành động phải tự kiểm tra quyền truy cập thủ công, và một số điểm cuối không sử dụng phương thức firstAction() cũng như không thực hiện kiểm tra quyền truy cập thủ công. Vấn đề này đã được khắc phục trong phiên bản 1.27.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

25/07/2025

Tiết lộ

30/09/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00398

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!