CVE-2025-54593 in FreshRSSthông tin

Tóm tắt

Bởi VulDB • 11/06/2026

FreshRSS là một bộ tổng hợp RSS miễn phí và có thể tự lưu trữ (self-hostable). Trong các phiên bản từ 1.26.1 trở xuống, người dùng quản trị viên đã xác thực có thể thực thi mã tùy ý trên máy chủ FreshRSS bằng cách sửa đổi URL cập nhật thành URL do họ kiểm soát, qua đó đạt được khả năng thực thi mã sau khi chạy quá trình cập nhật. Sau khi thực thi mã thành công, dữ liệu người dùng bao gồm mật khẩu đã băm (hashed passwords) có thể bị đánh cắp; giao diện của phiên bản có thể bị phá hoại nếu quyền tệp cho phép. Mã độc cũng có thể được chèn vào phiên bản để đánh cắp mật khẩu dạng văn bản rõ (plaintext passwords), cùng với các mục tiêu khác nữa. Vấn đề này đã được khắc phục trong phiên bản 1.26.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

25/07/2025

Tiết lộ

01/08/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00780

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!