PT-2022-16030 · Freshrss · Freshrss
C3L3Si4N
·
Publicado
2022-12-09
·
Atualizado
2022-12-13
·
CVE-2022-23497
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do FreshRSS anteriores à 1.20.2
Descrição
O FreshRSS é um agregador de RSS gratuito que pode ser hospedado localmente. Os arquivos de configuração do usuário podem ser acessados por um usuário remoto. Além das preferências do usuário, essas configurações contêm senhas com hash da interface web do FreshRSS. Se a API for utilizada, a configuração pode conter uma senha com hash da API do GReader e uma senha com hash da API do Fever.
Recomendações
Para versões anteriores à 1.20.2, atualize para a versão 1.20.2 ou edge.
Para usuários que não possam atualizar, aplique o patch manualmente ou exclua o arquivo
./FreshRSS/p/ext.php.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Freshrss