CVE-2025-54593 in FreshRSS
Tóm tắt
Bởi VulDB • 11/06/2026
FreshRSS là một bộ tổng hợp RSS miễn phí và có thể tự lưu trữ (self-hostable). Trong các phiên bản từ 1.26.1 trở xuống, người dùng quản trị viên đã xác thực có thể thực thi mã tùy ý trên máy chủ FreshRSS bằng cách sửa đổi URL cập nhật thành URL do họ kiểm soát, qua đó đạt được khả năng thực thi mã sau khi chạy quá trình cập nhật. Sau khi thực thi mã thành công, dữ liệu người dùng bao gồm mật khẩu đã băm (hashed passwords) có thể bị đánh cắp; giao diện của phiên bản có thể bị phá hoại nếu quyền tệp cho phép. Mã độc cũng có thể được chèn vào phiên bản để đánh cắp mật khẩu dạng văn bản rõ (plaintext passwords), cùng với các mục tiêu khác nữa. Vấn đề này đã được khắc phục trong phiên bản 1.26.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.