CVE-2025-32015

Nome do Software Vulnerável e Versões Afetadas Versões do FreshRSS anteriores à 1.26.2

Descrição O problema está relacionado à sanitização inadequada de HTML dentro do atributo <iframe srcdoc>, resultando em cross-site scripting (XSS) ao carregar o UserJS de um atacante dentro de <script src>. Para executar o ataque, o atacante precisa controlar um dos feeds da vítima e ter uma conta na instância do FreshRSS que a vítima está utilizando. Isso poderia permitir que um atacante obtivesse acesso à conta da vítima. Se a vítima for um administrador, seria possível excluir todos os usuários ou executar código arbitrário no servidor modificando a URL de atualização usando fetch() via XSS.

Recomendações Para versões anteriores à 1.26.2, atualize para a versão 1.26.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao atributo <iframe srcdoc> ou desabilitar o uso de UserJS dentro de <script src> até que a correção seja aplicada. Restringir o controle de feeds e o acesso à conta também pode minimizar o risco de exploração.