CVE-2025-46339

Nome do Software Vulnerável e Versões Afetadas Versões do FreshRSS anteriores à 1.26.2

Descrição A falha permite que um atacante envenene os favicons do feed manipulando a URL do feed e as configurações de proxy, potencialmente substituindo os favicons de todos os usuários. Isso é possível porque o cálculo do hash do favicon não inclui o endereço do proxy, o protocolo do proxy e as configurações de verificação SSL. Um atacante pode interceptar a resposta do feed e alterar a URL do site para um favicon de feed controlado.

Recomendações Para versões anteriores à 1.26.2, atualize para a versão 1.26.2 para resolver a falha. Como medida de contorno, considere restringir o acesso às configurações de proxy e garantir que a verificação SSL esteja habilitada para todos os feeds. Evite usar o recurso de proxy com feeds não confiáveis até que a falha seja resolvida.