Inverle

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS de 1.27.0 a 1.27.9 **Descrição** Um atacante poderia interromper o acesso aos feeds RSS para todos os usuários de uma instância manipulando as configurações de proxy para enviar um grande número de requisições 429 Retry-After. Esta negação de serviço torna a aplicação inutilizável para a maioria dos usuários. **Recomendações** Atualize para a versão 1.28.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS anteriores à 1.27.1 **Descrição** O FreshRSS é um agregador de RSS gratuito e auto-hospedável. Versões anteriores à 1.27.1 contêm uma falha de falsificação de solicitação entre sites (CSRF) relacionada à função de logout. A exploração bem-sucedida desta falha pode resultar em uma negação de serviço através do atributo `<track src>`. **Recomendações** Atualize para a versão 1.27.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS 1.26.3 e anteriores **Descrição** O FreshRSS, um agregador de RSS auto-hospedável, expõe informações sobre feeds e tags pertencentes a usuários administradores padrão. Isso se deve à ausência de controles de acesso dentro da função `FreshRSS Auth::hasAccess()`, que é utilizada por certos endpoints relacionados a tags e feeds. Especificamente, alguns controladores do FreshRSS não possuem um método `firstAction()` definido ou verificações de acesso manuais, o que leva à exposição não autorizada de informações. O problema foi corrigido na versão 1.27.0. **Recomendações** Atualize para a versão 1.27.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** FreshRSS versões 1.16.0 a 1.26.3 **Descrição** O FreshRSS é um agregador de RSS gratuito e auto-hospedável. Um atacante não privilegiado pode criar um novo usuário administrador quando o registro está habilitado. Isso é conseguido através da manipulação de um campo oculto, `new user is admin`, utilizado na página de administração de gerenciamento de usuários. O campo permite que um atacante defina o parâmetro `new user is admin` como '1' durante o registro, concedendo-lhe privilégios administrativos. **Recomendações** Atualize para a versão 1.27.0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** FreshRSS versions 1.26.3 and below **Description** FreshRSS is a free, self-hostable RSS aggregator susceptible to a flaw where a crafted page can mislead a user into executing arbitrary JavaScript code or elevating privileges within FreshRSS. This is achieved by concealing UI elements within iframes. If embedding an authenticated iframe is possible, it could lead to privilege escalation by obscuring the promote user button in the admin UI, or cross-site scripting (XSS) by deceiving the user into dragging content into the UserJS text area. **Recommendations** Update to version 1.27.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS 1.26.3 e inferiores **Descrição** O FreshRSS não sanitiza corretamente os atributos de manipuladores de eventos dentro do conteúdo do feed. Isso pode resultar em cross-site scripting (XSS) caso uma página renderize entradas do feed sem uma Política de Segurança de Conteúdo (CSP). A configuração de permitir autenticação de acesso à API deve estar habilitada para exploração. Um atacante pode potencialmente assumir o controle de uma conta ao enviar uma solicitação de alteração de senha, configurar UserJS para persistência, roubar senhas de preenchimento automático ou exibir uma página de phishing. Se a vítima for um administrador, ações administrativas também são possíveis. O ataque utiliza o endpoint `/api/query.php`. **Recomendações** Atualize para a versão 1.27.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** FreshRSS versões 1.26.3 e anteriores **Descrição** O FreshRSS é vulnerável à enumeração de diretórios. Ao manipular o campo `theme` com um caminho específico, um atacante pode determinar a existência de diretórios no servidor, potencialmente obtendo informações adicionais. **Recomendações** Atualize para a versão 1.27.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS 1.26.3 e anteriores **Descrição** O FreshRSS é suscetível a um contorno de proteção contra clickjacking duplo. Um atacante pode induzir um administrador a promover-se a "admin" e acessar as contas de outros usuários. Isso é conseguido explorando uma falha na caixa de diálogo de confirmação, exigindo conhecimento da URL específica da instância. Um ataque bem-sucedido requer que o administrador clique duas vezes em um botão em um site controlado pelo atacante. **Recomendações** Atualize para a versão 1.27.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** FreshRSS versões 1.26.1 e inferiores **Descrição** O FreshRSS é um agregador de RSS gratuito e auto-hospedável. Um usuário administrador autenticado pode executar código arbitrário no servidor FreshRSS ao modificar a URL de atualização para uma sob seu controle, obtendo execução de código após realizar uma atualização. A execução bem-sucedida de código pode levar à exfiltração de dados do usuário, incluindo senhas com hash, e à potencial desfiguração da instância. Código malicioso pode ser inserido para roubar senhas em texto simples. **Recomendações** Atualize para a versão 1.26.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS anteriores à 1.26.2 **Descrição** Uma vulnerabilidade no FreshRSS, um agregador de feeds RSS auto-hospedado, faz com que o usuário seja desconectado repetidamente após buscar uma entrada de feed maliciosa, resultando efetivamente em negação de serviço. **Recomendações** Para versões anteriores à 1.26.2, atualize para a versão 1.26.2 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS anteriores à 1.26.2 **Descrição** O problema está relacionado à sanitização inadequada de HTML dentro do atributo `<iframe srcdoc>`, resultando em cross-site scripting (XSS) ao carregar o UserJS de um atacante dentro de `<script src>`. Para executar o ataque, o atacante precisa controlar um dos feeds da vítima e ter uma conta na instância do FreshRSS que a vítima está utilizando. Isso poderia permitir que um atacante obtivesse acesso à conta da vítima. Se a vítima for um administrador, seria possível excluir todos os usuários ou executar código arbitrário no servidor modificando a URL de atualização usando `fetch()` via XSS. **Recomendações** Para versões anteriores à 1.26.2, atualize para a versão 1.26.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao atributo `<iframe srcdoc>` ou desabilitar o uso de UserJS dentro de `<script src>` até que a correção seja aplicada. Restringir o controle de feeds e o acesso à conta também pode minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS anteriores à 1.26.2 **Descrição** A falha permite que um atacante execute JavaScript arbitrário na página de feeds, combinando uma vulnerabilidade de cross-site scripting (XSS) em `f.php` com a falta de Política de Segurança de Conteúdo (CSP) quando favicons SVG são baixados de um feed controlado pelo atacante. Isso pode ser conseguido incorporando um favicon malicioso em um iframe com atributos específicos. O atacante precisa controlar um dos feeds aos quais a vítima está assinada e possuir uma conta na instância do FreshRSS. A vulnerabilidade pode ser explorada de duas formas: uma exigindo interação do usuário e a outra sendo executada instantaneamente após o usuário adicionar o feed ou fazer login na conta. Isso pode levar o atacante a obter acesso à conta da vítima e, se a vítima for um administrador, poderia resultar em danos como excluir todos os usuários ou executar código arbitrário no servidor. **Recomendações** Para versões anteriores à 1.26.2, atualize para a versão 1.26.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `f.php` ou desativar a funcionalidade de carregamento diferido de imagens até que a atualização seja aplicada. Além disso, restrinja o uso de iframes com o atributo `sandbox="allow-scripts allow-same-origin"` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS anteriores à 1.26.2 **Descrição** O FreshRSS é um agregador de feeds RSS auto-hospedado. Quando o servidor utiliza autenticação HTTP via proxy reverso, é possível assumir a identidade de qualquer usuário, seja através do cabeçalho `Remote-User` ou do cabeçalho `X-WebAuth-User`, fazendo requisições especialmente elaboradas via funcionalidade de adicionar feed e obtendo o token CSRF via scraping XPath. O atacante precisa conhecer o endereço IP da instância do FreshRSS atrás de proxy e o nome de usuário do administrador, além de possuir uma conta na instância. Isso pode levar ao acesso não autorizado a serviços internos e potencialmente ao escalonamento de privilégios, embora usuários que configuraram OIDC não sejam afetados pelo escalonamento de privilégios. **Recomendações** Para versões anteriores à 1.26.2, atualize para a versão 1.26.2 para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de adicionar feed e limitar o uso de autenticação HTTP via proxy reverso até que a correção seja aplicada. Adicionalmente, restrinja os cabeçalhos `Remote-User` e `X-WebAuth-User` para prevenir a manipulação de cabeçalhos.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS anteriores à 1.26.2 **Descrição** O FreshRSS é um agregador de feeds RSS auto-hospedado. Um atacante pode obter informações adicionais sobre o servidor verificando a existência de determinados diretórios, potencialmente descobrindo versões antigas do PHP ou softwares instalados. Essas informações podem ser utilizadas para realizar ataques adicionais ao servidor. **Recomendações** Para versões anteriores à 1.26.2, atualize para a versão 1.26.2 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreshRSS anteriores à 1.26.2 **Descrição** A falha permite que um atacante envenene os favicons do feed manipulando a URL do feed e as configurações de proxy, potencialmente substituindo os favicons de todos os usuários. Isso é possível porque o cálculo do hash do favicon não inclui o endereço do proxy, o protocolo do proxy e as configurações de verificação SSL. Um atacante pode interceptar a resposta do feed e alterar a URL do site para um favicon de feed controlado. **Recomendações** Para versões anteriores à 1.26.2, atualize para a versão 1.26.2 para resolver a falha. Como medida de contorno, considere restringir o acesso às configurações de proxy e garantir que a verificação SSL esteja habilitada para todos os feeds. Evite usar o recurso de proxy com feeds não confiáveis até que a falha seja resolvida.