Pecirep

**Nome do Software Vulnerável e Versões Afetadas:** Versões do immich anteriores à 1.132.0 **Descrição:** O immich é uma solução de gerenciamento de fotos e vídeos auto-hospedada. Existe uma falha na implementação do OAuth2 onde o parâmetro `state` não é validado. Este parâmetro, funcionando de maneira similar a um token de Falsificação de Solicitação Entre Sites (CSRF), destina-se a verificar se o fluxo de login foi iniciado pelo usuário na sessão atual do navegador. A ausência dessa verificação, combinada com o uso da página `/user-settings` como URI de redirecionamento, permite que um atacante vincule contas automaticamente. Um atacante pode explorar isso incorporando um iframe oculto ou enviando uma URL de login OAuth forjada, potencialmente efetuando o login de uma vítima na conta OAuth do atacante e, subsequentemente, vinculando as contas dentro do immich. Isso permite que o atacante faça login na conta immich da vítima usando suas próprias credenciais OAuth. **Recomendações:** Atualize para a versão 1.132.0 ou posterior do immich para corrigir este problema.