FreshRSS — это бесплатный агрегатор RSS с возможностью самостоятельного размещения. До версии 1.28.0 — ошибка в логике аутентификации, связанная с главными токенами аутентификации, это ограничение обходит. Обычно, если включен анонимный просмотр, должен быть доступен для просмотра только канал пользователя по умолчанию, а каналы других пользователей должны быть конфиденциальными.
Эта уязвимость исправлена в версии 1.28.0.
Показать оригинальное описание (EN)
FreshRSS is a free, self-hostable RSS aggregator. Prior 1.28.0, a bug in the auth logic related to master authentication tokens, this restriction is bypassed. Usually only the default user's feed should be viewable if anonymous viewing is enabled, and feeds of other users should be private. This vulnerability is fixed in 1.28.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Freshrss Freshrss
cpe:2.3:a:freshrss:freshrss:*:*:*:*:*:*:*:*
|
— |
1.28.0
|