根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Insecure Transmission of Authentication Credentials via Password Parameter in HTTP Request Query String When Accessing Shared Albums in Immich 描述: 当用户通过共享相册访问媒体时,Immich 应用程序会将认证凭据(密码)以明文形式通过 HTTP 请求查询字符串中的 参数传输。这违反了安全最佳实践,因为查询字符串可能会被记录在服务器日志、代理日志或浏览器历史记录中,导致凭据泄露。 严重程度: Critical (严重) CVSS 评分: 9.1 (High) 2. 影响范围 (Affected Versions): 受影响版本: = 1.63 3. 修复方案 (Remediation): 建议: 升级到 Immich 的 1.63 或更高版本。 具体步骤: 1. 登录 Immich 应用程序。 2. 进入“设置” -> “共享相册”。 3. 点击“共享相册”旁边的三个点图标。 4. 点击“编辑”。 5. 点击“密码”字段。 6. 输入新密码。 7. 点击“保存”。 8. 点击“完成”。 9. 点击“保存”。 10. 将新密码告知所有共享用户。 11. 从共享相册中移除旧密码(如果适用)。 12. 从共享相册中移除旧密码(如果适用)。 4. POC/利用代码 (POC/Exploit Code): 页面中提供了一个示例 URL,展示了漏洞的利用方式: 虽然这不是一个完整的脚本,但它是一个明确的利用示例(Proof of Concept),展示了如何通过 URL 参数传递密码。 5. 总结结构: 漏洞标题 漏洞描述 受影响版本 修复建议 POC/利用示例 现在,我将把这些信息整理成最终的 Markdown 输出。 Immich 共享相册密码传输漏洞总结 漏洞概述 漏洞名称: Insecure Transmission of Authentication Credentials via Password Parameter in HTTP Request Query String When Accessing Shared Albums in Immich 严重程度: Critical (严重) CVSS 评分: 9.1 描述: 当用户通过共享相册访问媒体时,Immich 应用程序会将认证凭据(密码)以明文形式通过 HTTP 请求查询字符串中的 参数传输。这违反了安全最佳实践,因为查询字符串可能会被记录在服务器日志、代理日志或浏览器历史记录中,导致凭据泄露。 影响范围 受影响版本: 已修复版本: 修复方案 建议: 升级到 Immich 的 1.63 或更高版本。 操作步骤**: 1. 登录 Immich 应用程序。 2. 进入“设置” -> “共享相册”。 3. 点击“共享相册”旁边的三个点图标。 4. 点击“编辑”。 5. 点击“密码”字段。 6. 输入新密码。 7. 点击“保存”。 8. 点击“完成”。 9. 点击“保存”。 10. 将新密码告知所有共享用户。 11. 从共享相册中移除旧密码(如果适用)。 12. 从共享相册中移除旧密码(如果适用)。 POC/利用示例 页面中提供了以下示例 URL,展示了漏洞的利用方式(通过 URL 参数传递密码):