FreshRSS — это бесплатный агрегатор RSS с возможностью самостоятельного размещения. Начиная с версии 1.27.0 и до версии 1.28.0, злоумышленник мог глобально запретить доступ к каналам через прокси-сервер, изменив значение 429 Retry-After для большого списка каналов в данном экземпляре, что сделало его непригодным для использования для большинства пользователей. Эта проблема исправлена в версии 1.28.0.
Показать оригинальное описание (EN)
FreshRSS is a free, self-hostable RSS aggregator. From version 1.27.0 to before 1.28.0, An attacker could globally deny access to feeds via proxy modifying to 429 Retry-After for a large list of feeds on given instance, making it unusable for majority of users. This issue has been patched in version 1.28.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Freshrss Freshrss
cpe:2.3:a:freshrss:freshrss:*:*:*:*:*:*:*:*
|
1.27.0
|
1.28.0
|