Freshrss
Уязвимости
23
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.04432
Распределение по критичности
Критический
1
Высокий
9
Средний
12
Низкий
1
Затронутые диапазоны версий
1.16.0–1.27.01.18.0–1.20.21.23.0–1.27.11.27.0–1.28.01.9.0–1.21.0< 1.26.2< 1.27.0< 1.27.1< 1.28.0< 476e57b04646416e24e24c56133c9fadf9e52b95
Также сопоставлено как (исходные строки): freshrss
Топ уязвимостей
CVE-2025-54875FreshRSS - это бесплатный, самостоятельно хозяйственный агрегатор RSS. В версиях 1.16.0 и выше до 1.26.3 непривилегированный злоумышленник может создать нового пользователя администратора, когда регистрация включена, используя скрытое поле, используемое только на странице администратора управления пользователем, new_user_is_admin. Это исправлено в версии 1.27.0.
CVE-2025-54592FreshRSS - это бесплатный, самостоятельный агрегатор RSS. Версии 1.26.3 и ниже не позволяют должным образом прекратить сеанс во время выпуска. После выхода пользователя сеансовый файл cookie остается активным и неизменным. Неизменный файл cookie может быть повторно использован злоумышленником, если будет начата новая сессия. Эта неспособность аннулировать сессию может привести к угону сеанса и уязвимостям фиксации. Эта проблема исправлена в версии 1.27.0
CVE-2025-68402FreshRSS - это бесплатный, самостоятельный агрегатор RSS. От 57e1a37 - 00f2f04 длины нонсе были изменены с 40 на 64. password_verify() в настоящее время называется со сконструированным строем (SHA-256 nonce + часть хэша bcrypt) вместо необработанного пароля пользователя. Из-за 72-байтного усечения ввода bcrypt это приводит к успеху проверки пароля, даже если пользователь вводит неправильным пароль. Эта уязвимость зафиксирована в 1.27.2-dev (476e57b). Проблема присутствовала только в краю ветви и никогда не находилась в стабильном выпуске.
CVE-2025-68148FreshRSS - это бесплатный, самостоятельный агрегатор RSS. От версии 1.27.0 до 1.28.0 злоумышленник может глобально отказать в доступе к каналам с помощью прокси-модернизации до 429 Retry-After для большого списка каналов в данном экземпляре, что делает его непригодным для большинства пользователей. Этот вопрос был исправлен в версии 1.28.0.
CVE-2025-62166FreshRSS - это бесплатный, самостоятельный агрегатор RSS. При 1.28.0, ошибка в логике аут, связанная с токенами мастер-аутентификации, это ограничение обойдена. Обычно только лента пользователя по умолчанию должна быть доступна для просмотра, если включен анонимный просмотр, а каналы других пользователей должны быть конфиденциальными. Эта уязвимость фиксируется в разделе 1.28.0.
CVE-2025-54591FreshRSS - это бесплатный, самостоятельный агрегатор RSS. Версии 1.26.3 и ниже раскрывают информацию о лентах и тегах пользователей администратора по умолчанию из-за отсутствия проверки доступа в функции FreshRSS_Auth::hasAccess(), используемой некоторыми конечными точками, связанными с тегом/каналом. Контроллеры FreshRSS обычно имеют определенный метод firstAction() с переопределение, чтобы убедиться, что каждое действие требует доступа. Если нет, то каждое действие должно проверять доступ вручную, и некоторые конечные точки не используют ни способ firstAction(), ни проводят ручную проверку доступа. Эта проблема исправлена в версии 1.27.0.
CVE-2022-23497FreshRSS - это бесплатный агрегатор RSS, который можно разместить самостоятельно. Файлы конфигурации пользователя могут быть доступны удаленному пользователю. В дополнение к пользовательским настройкам, такие конфигурации содержат хешированные пароли (brypt со стоимостью 9, с солью) веб-интерфейса FreshRSS. Если используется API, конфигурация может содержать хешированный пароль (brypt со стоимостью 9, с солью) GReader API и хешированный пароль (MD5 с солью) Fever API. Пользователям следует обновиться до версии 1.20.2 или edge. Пользователи, которые не могут выполнить обновление, могут применить исправление вручную или удалить файл `./FreshRSS/p/ext.php`.
CVE-2025-58173FreshRSS является самостояцирующим агрегатор RSS-каналов. В версиях 1.23.0-1.27.0, используя прохождение пути внутри параметра конфигурации пользователя «язык» можно вызвать «install.php`» и выполнить различные административные действия в качестве непривилегированного пользователя. Эти действия включают вход в систему в качестве администратора, создание нового пользователя администратора или настройку базы данных на контролируемый злоумышленником сервер MySQL и злоупотребление его для выполнения кода в FreshRSS путем установки вредоносной ленты `curl_params` в таблице `curl_params` внутри `feed` таблицы. Версия 1.27.1 исправит проблему.
CVE-2025-54593FreeRSS версии 1.26.1 и ниже содержит уязвимость, позволяющую аутентифицированному администратору выполнить произвольный код на сервере FreeRSS путем изменения URL обновления на контролируемый им URL и получения выполнения кода после запуска обновления [1].
Дополнительная информация:
После успешного выполнения кода злоумышленник может извлечь данные пользователей, включая хэшированные пароли, и deface экземпляр, если это позволяют права доступа к файлам [1].
Источники:
- [1] https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-jcww-48g9-wf57
CVE-2025-46341FreshRSS - это агрегатор RSS-каналов, размещаемый на собственном сервере. До версии 1.26.2, при использовании сервером HTTP-аутентификации через обратный прокси, существует возможность выдать себя за любого пользователя с помощью заголовков 'Remote-User' или 'X-WebAuth-User' путем отправки специально сформированных запросов через функциональность добавления ленты и получения CSRF-токена с помощью XPath-парсинга. Злоумышленнику необходимо знать IP-адрес прокси-инстанса FreshRSS и имя администратора, а также иметь учетную запись на инстансе. Злоумышленник может отправлять специально сформированные запросы для получения неавторизованного доступа к внутренним службам. Это также может привести к повышению привилегий, как показано в продемонстрированном сценарии, хотя пользователи, настроившие OIDC, не подвержены повышению привилегий. Версия 1.26.2 содержит исправление для этой проблемы. [1]
Источники:
- [1] https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-w3m8-wcf4-h8vm
- [2] https://github.com/FreshRSS/FreshRSS/commit/6bb8680ae0051b9a2ff344f17814f4fa5d844628
CVE-2025-61586FreshRSS - это бесплатный, самостоятельно движимый агрегатор RSS. Версии 1.26.3 и ниже уязвимы для перечисления каталогов путем установки пути в поле темы, что позволяет злоумышленникам получать дополнительную информацию о сервере, проверяя, существуют ли определенные каталоги. Данная проблема исправлена в версии 1.27.0.
CVE-2025-32015FreshRSS — это агрегатор RSS-лент с самостоятельным размещением. В версиях до 1.26.2 HTML неправильно очищается внутри атрибута `<iframe srcdoc>` , что приводит к XSS путем загрузки UserJS атакующего внутри `<script src>` [1]. Для выполнения атаки атакующий должен контролировать одну из лент жертвы и иметь учетную запись на экземпляре FreshRSS, который использует жертва. Атакующий может получить доступ к учетной записи жертвы, эксплуатируя эту уязвимость. Если жертва является администратором, это может привести к удалению всех пользователей (причинение ущерба) или выполнению произвольного кода на сервере путем изменения URL обновления с помощью fetch() через XSS. В версии 1.26.2 имеется исправление [2].
Источники:
- [1] https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-wgrq-mcwc-8f8v
- [2] https://github.com/FreshRSS/FreshRSS/commit/54e2f9107d03c5b3bb260f38fdb2736bce449fd4
CVE-2025-59949FreshRSS - это бесплатный, самостоятельный агрегатор RSS. Версии до 1.27.1 имеют уязвимость подделки запроса на перекрестный сайт, которая может привести к отказу в обслуживании через <track src>. Версия 1.27.1 исправляет проблему.
CVE-2018-19782Множественные уязвимости межсайтового скриптинга (XSS) в GET-запросах в FreshRSS 1.11.1 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через (1) параметр c или (2) параметр a.
CVE-2025-31134FreshRSS - это агрегатор RSS-лент, размещаемый на собственном сервере. До версии 1.26.2 злоумышленник мог получить дополнительную информацию о сервере, проверив существование определённых директорий. Злоумышленник мог, например, проверить, установлены ли старые версии PHP или определённое программное обеспечение на сервере, и потенциально использовать эту информацию для дальнейших атак на сервер [1]. В версии 1.26.2 имеется исправление для этой проблемы. Для эксплуатации уязвимости необходимо, чтобы были включены и содержали отправленный контент UserJS или UserCSS, после чего можно было перейти по URL-адресу вида http://192.168.91.132:8080/ext.php?f=../../../../etc/apache2/../../var/www/FreshRSS/data/users/[your_username]/extensions/UserJS/script.js&t=js, чтобы проверить, существует ли директория /etc/apache2 на сервере. Также можно перечислить пользователей, не зная пути установки: http://192.168.91.132:8080/ext.php?f=[some_user]/../[your_username]/extensions/UserJS/script.js&t=js&t=js. Если возникает ошибка "File is not supported.", это означает, что директория не существует; если возвращается содержимое UserJS, это означает, что директория существует. Проблема была исправлена путём изменения обработки символических ссылок в ext.php и lib/lib_rss.php [2].
Источники:
- [1] https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-jjm2-4hf7-9x65
- [2] https://github.com/FreshRSS/FreshRSS/commit/4568111c00813756a3a34a381d684b8354fc4438
CVE-2023-22481FreshRSS - это агрегатор RSS-каналов с самостоятельным размещением. При использовании greader API предоставленный пароль регистрируется в открытом виде в `users/_/log_api.txt` в случае, если аутентификация не удалась. Проблема возникает в `authorizationToUser()` в `greader.php`. Если есть проблема с запросом или учетными данными, вызывается `unauthorized()` или `badRequest()`. Обе эти функции выводят возврат `debugInfo()` в логи. `debugInfo()` вернет содержимое запроса. По умолчанию это будет сохранено в `users/_/log_api.txt`, и если константа `COPY_LOG_TO_SYSLOG` истинна, то и в системных журналах. Эксплуатация этой проблемы требует доступа к журналам, созданным FreshRSS. Используя информацию из журналов, злоумышленник может получить ключи API пользователей (будут отображены, если пользователи вводят неверное имя пользователя) или пароли.
CVE-2025-59950FreshRSS - это бесплатный, самостоятельный агрегатор RSS. В версиях 1.26.3 и ниже, благодаря обходу защиты от двойного клика (диалог подтверждения), можно обмануть администратора в нажатии кнопки «Продвижение» на странице управления другого пользователя после того, как администратор дважды нажимает на кнопку внутри контролируемого злоумышленником веб-сайта. Успешная атака может позволить злоумышленнику продвигать себя, чтобы «администрировать» и войти в учетные записи других пользователей; злоумышленник должен знать конкретный URL-адрес экземпляра, на который он нацелен. Эта проблема исправлена в версии 1.27.0.
CVE-2025-59948FreshRSS - это бесплатный, самостоятельный агрегатор RSS. Версии 1.26.3 и ниже не дезинфицируют определенные атрибуты обработчиков событий в содержании ленты, поэтому, найдя страницу, которая отображает записи ленты без CSP, можно выполнить полезную нагрузку XSS. Настройка аутентификации доступа к доступу Allow API должна быть заранее включена администратором экземпляра для работы атаки, поскольку она полагается на api/query.php. Захват учетной записи возможен путем отправки запроса на смену пароля через полезную нагрузку XSS / настройку UserJS для настойчивости / кражи пароля автозаполнения / отображения фишинговой страницы с поддельным URL-адресом с помощью history.replaceState()
Если жертва является администратором, злоумышленник также может совершать административные действия. Эта проблема исправлена в версии 1.27.0.
CVE-2025-31136FreshRSS - это самохостимый агрегатор лент RSS. До версии 1.26.2 возможно выполнение произвольного JavaScript на странице лент. Это происходит путем объединения межсайтового скриптинга (XSS), возникающего в `f.php` при скачивании SVG-файлов иконок с контролируемого атакующим фида, содержащего теги `<script>`, которые не проходят очистку, с отсутствием CSP в `f.php` путем встраивания вредоносной иконки в iframe (имеющего атрибут `sandbox="allow-scripts allow-same-origin"`). Атакующему необходимо контролировать один из фидов, на который подписан жертва, а также иметь учетную запись на экземпляре FreshRSS. Существуют два варианта внедрения пейлоада iframe. Первый пейлоад требует взаимодействия пользователя (клика на вредоносную запись фида) при конфигурации пользователя по умолчанию, а второй пейлоад срабатывает мгновенно после добавления пользователем фида или входа в учетную запись, пока запись фида еще видна, благодаря функциональности ленивой загрузки изображений, которую второй пейлоад обходит. Атакующий может получить доступ к учетной записи жертвы, эксплуатируя эту уязвимость. Если жертва является администратором, возможно удаление всех пользователей (причинение ущерба) или выполнение произвольного кода на сервере путем изменения URL обновления с помощью fetch() через XSS [1].
Источники:
- [1] https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-f6r4-jrvc-cfmr
- [2] https://github.com/FreshRSS/FreshRSS/commit/426e3054c237c2b98667ebeacbbdb5caa88e7b1f
CVE-2025-57769FreshRSS - это бесплатный, самостоятельный агрегатор RSS. Версии 1.26.3 и ниже содержат уязвимость, при которой специально созданная страница может обмануть пользователя в выполнении произвольного JS-кода или продвижении пользователя в FreshRSS, заслоняя элементы пользовательского интерфейса в iframes. Если возможно встраивание аутентифицированного iframe, это может привести к эскалации привилегий путем заслонки кнопки «Повышение пользователя» в админ-пользовательском интерфейсе или XSS, обманывая пользователя, чтобы перетащить контент в текстовую область UserJS. Это исправлено в версии 1.27.0
CVE-2025-46339FreshRSS - это агрегатор RSS-лент с открытым исходным кодом. До версии 1.26.2 существует возможность отравить кэш иконок фидов, добавив определенный URL в качестве фида с прокси, установленным на контролируемый атакующим, и отключенной проверкой SSL. Хэш иконки вычисляется путем хэширования URL фида и соли, не включая следующие переменные: адрес прокси, протокол прокси и необходимость проверки SSL. Таким образом, любой пользователь может изменить изображение иконки для всех пользователей, что может быть использовано для внедрения вредоносных изображений [1].
Источники:
- [1] https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-8f79-3q3w-43c4
- [2] https://github.com/FreshRSS/FreshRSS/commit/3776e1e48f33e80eb4b674bb64b419caf3b5a4e2
CVE-2025-31482FreshRSS — это самохостная агрегатор RSS-лент. Уязвимость в версиях до 1.26.2 приводит к тому, что пользователь повторно выходит из системы после загрузки вредоносной записи ленты, фактически вызывая отказ в обслуживании для этого пользователя. Версия 1.26.2 содержит исправление для этой проблемы [1]. Источники:
- [1] https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-vpmc-3fv2-jmgp
Источники:
- [1] https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-vpmc-3fv2-jmgp
CVE-2025-68932FreshRSS - это бесплатный, самостоятельный агрегатор RSS. До версии 1.28.0 FreshRSS использует криптографически слабые генераторы случайных чисел (mt_rand() и uniqid()) для создания токенов аутентификации remember-me и отказов от вызова. Это позволяет злоумышленникам прогнозировать действительные токены сеанса, что приводит к захвату учетной записи через постоянный захват сеанса. Токены remember-мне обеспечивают постоянную аутентификацию и являются единственным подтверждением функциональности «держать меня вошел». Эта проблема была исправлена в версии 1.28.0.