CVE-2026-40096

Name of the Vulnerable Software and Affected Versions immich versões anteriores a 2.7.3

Description Um redirecionamento aberto existe na funcionalidade de álbuns compartilhados. Um invasor registrado pode criar um álbum compartilhado com um nome manipulado contendo um payload malicioso. Esse payload é inserido sem sanitização em uma tag dentro de 'api.service.ts'. Quando a vítima abre o link de compartilhamento, o navegador renderiza o payload na tag , causando um redirecionamento para um site controlado pelo invasor. Isso pode ser usado para facilitar ataques de phishing, direcionando usuários para uma página de autenticação falsa para coletar credenciais de login.

Recommendations Atualizar para a versão 2.7.3.