CVE-2025-59948

Nome do Software Vulnerável e Versões Afetadas Versões do FreshRSS 1.26.3 e inferiores

Descrição O FreshRSS não sanitiza corretamente os atributos de manipuladores de eventos dentro do conteúdo do feed. Isso pode resultar em cross-site scripting (XSS) caso uma página renderize entradas do feed sem uma Política de Segurança de Conteúdo (CSP). A configuração de permitir autenticação de acesso à API deve estar habilitada para exploração. Um atacante pode potencialmente assumir o controle de uma conta ao enviar uma solicitação de alteração de senha, configurar UserJS para persistência, roubar senhas de preenchimento automático ou exibir uma página de phishing. Se a vítima for um administrador, ações administrativas também são possíveis. O ataque utiliza o endpoint /api/query.php.

Recomendações Atualize para a versão 1.27.0 ou posterior.