目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2025-54592— FreshRSS 代码问题漏洞

AI Predicted 5.4 Difficulty: Easy EPSS 0.50% · P39

Possible ATT&CK Techniques 1AI

T1133 · External Remote Services
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2025-54592の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
FreshRSS has Incomplete Session Termination on Logout
ソース: NVD (National Vulnerability Database)
脆弱性説明
FreshRSS is a free, self-hostable RSS aggregator. Versions 1.26.3 and below do not properly terminate the session during logout. After a user logs out, the session cookie remains active and unchanged. The unchanged cookie could be reused by an attacker if a new session were to be started. This failure to invalidate the session can lead to session hijacking and fixation vulnerabilities. This issue is fixed in version 1.27.0
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
不充分的会话过期机制
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
FreshRSS 代码问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
FreshRSS是FreshRSS开源的一个免费的、可自行托管的 RSS 聚合器。 FreshRSS 1.26.3及之前版本存在代码问题漏洞,该漏洞源于注销时未正确终止会话,可能导致会话劫持和固定漏洞。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
FreshRSSFreshRSS < 1.27.0 -

II. CVE-2025-54592の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2025-54592のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · FreshRSS · 2025-09-29 · 7 CVEs total

CVE-2025-548759.8 CRITICALFreshRSS: Unauthorized creation of admin user when registration is enabled
CVE-2025-545917.5 HIGHFreshRSS: Unauthenticated users can view default user's information
CVE-2025-599486.7 MEDIUMFreshRSS is vulnerable to XSS due to lack of CSP on HTML query page
CVE-2025-599506.7 MEDIUMFreshRSS: Double clickjacking can lead to privilege escalation
CVE-2025-57769FressRSS: Clickjacking can lead to XSS and/or privilege escalation
CVE-2025-61586FreshRSS is vulnerable to directory enumeration by setting path in its theme field

IV. 関連脆弱性

V. CVE-2025-54592へのコメント

まだコメントはありません


コメントを残す