CVE-2025-31136

Nome do Software Vulnerável e Versões Afetadas Versões do FreshRSS anteriores à 1.26.2

Descrição A falha permite que um atacante execute JavaScript arbitrário na página de feeds, combinando uma vulnerabilidade de cross-site scripting (XSS) em f.php com a falta de Política de Segurança de Conteúdo (CSP) quando favicons SVG são baixados de um feed controlado pelo atacante. Isso pode ser conseguido incorporando um favicon malicioso em um iframe com atributos específicos. O atacante precisa controlar um dos feeds aos quais a vítima está assinada e possuir uma conta na instância do FreshRSS. A vulnerabilidade pode ser explorada de duas formas: uma exigindo interação do usuário e a outra sendo executada instantaneamente após o usuário adicionar o feed ou fazer login na conta. Isso pode levar o atacante a obter acesso à conta da vítima e, se a vítima for um administrador, poderia resultar em danos como excluir todos os usuários ou executar código arbitrário no servidor.

Recomendações Para versões anteriores à 1.26.2, atualize para a versão 1.26.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo f.php ou desativar a funcionalidade de carregamento diferido de imagens até que a atualização seja aplicada. Além disso, restrinja o uso de iframes com o atributo sandbox="allow-scripts allow-same-origin" para minimizar o risco de exploração.