CVE-2025-43856

Nome do Software Vulnerável e Versões Afetadas: Versões do immich anteriores à 1.132.0

Descrição: O immich é uma solução de gerenciamento de fotos e vídeos auto-hospedada. Existe uma falha na implementação do OAuth2 onde o parâmetro state não é validado. Este parâmetro, funcionando de maneira similar a um token de Falsificação de Solicitação Entre Sites (CSRF), destina-se a verificar se o fluxo de login foi iniciado pelo usuário na sessão atual do navegador. A ausência dessa verificação, combinada com o uso da página /user-settings como URI de redirecionamento, permite que um atacante vincule contas automaticamente. Um atacante pode explorar isso incorporando um iframe oculto ou enviando uma URL de login OAuth forjada, potencialmente efetuando o login de uma vítima na conta OAuth do atacante e, subsequentemente, vinculando as contas dentro do immich. Isso permite que o atacante faça login na conta immich da vítima usando suas próprias credenciais OAuth.

Recomendações: Atualize para a versão 1.132.0 ou posterior do immich para corrigir este problema.