کشف آسیب‌پذیری در FreshRSS

FreshRSS یک گردآورندهٔ RSS متن‌باز و قابل میزبانی شخصی است.
در نسخه‌های 1.16.0 تا 1.26.3، یک آسیب‌پذیری جدی وجود دارد که به مهاجم بدون هیچ امتیازی اجازه می‌دهد در صورتی که ثبت‌نام کاربران فعال باشد، یک حساب کاربری با نقش مدیر ایجاد کند.

شرح فنی کوتاه:
در مسیر FreshRSS/app/Controllers/userController.php از یک فیلد پنهان (new_user_is_admin) استفاده شده که در صفحهٔ مدیریت کاربرانِ مدیران کاربرد دارد. این فیلد هنگام ثبت‌نام عمومی نیز قابل ارسال است؛ بنابراین مهاجم می‌تواند با اضافه‌کردن این ورودی پنهان در فرم ثبت‌نام، خودش را مدیر ثبت کند.

مثال سوءاستفاده:

• به صفحهٔ ثبت‌نام بروید: https://demo.freshrss.org/i/?c=auth&a=register
• در فرم HTML خط زیر را درج کنید: <input type="hidden" name="new_user_is_admin" value="1">
• فرم را تکمیل و ارسال کنید — کاربر ایجادشده دارای نقش مدیر خواهد بود.

محصولات آسیب‌پذیر

• نسخه‌های FreshRSS 1.16.0 تا 1.26.3

توصیه‌های امنیتی

• به‌روزرسانی فوری: کاربران و مدیران FreshRSS باید سریعاً به نسخهٔ 1.27.0 یا بالاتر ارتقا دهند.
• در صورت نیاز موقت، ثبت‌نام عمومی را غیرفعال کنید یا بررسی‌های سمت سرور برای فیلدهای پنهان اضافه کنید تا از ارسال پارامترهای نقش جلوگیری شود.
• پس از بروزرسانی، فهرست کاربران را بازبینی کنید و هر حساب مشکوک یا غیرمجاز را حذف یا اصلاح نمایید.
• پیاده‌سازی کنترل‌های سخت‌گیرانه‌تر بر روی ورودی‌های فرم (اعتبارسنجی سرور، حذف فیلدهای غیرمجاز) و مانیتورینگ رویدادهای ثبت‌نام توصیه می‌شود.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-54875

[2]https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-h625-ghr3-jppq