Vulnerabilidad en FreshRSS (CVE-2025-46341)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

04/06/2025

Última modificación:

12/08/2025

Descripción

FreshRSS es un agregador de feeds RSS autoalojado. Antes de la versión 1.26.2, cuando el servidor utiliza autenticación HTTP mediante proxy inverso, era posible suplantar la identidad de cualquier usuario mediante el encabezado `Remote-User` o `X-WebAuth-User`, realizando solicitudes personalizadas mediante la función para agregar feeds y obteniendo el token CSRF mediante el raspado de XPath. El atacante debe conocer la dirección IP de la instancia de FreshRSS con proxy y el nombre de usuario del administrador, además de tener una cuenta en la instancia. Un atacante puede enviar solicitudes personalizadas para obtener acceso no autorizado a servicios internos. Esto también puede provocar una escalada de privilegios, como en el caso mostrado, aunque los usuarios con OIDC configurado no se ven afectados. La versión 1.26.2 incluye un parche para este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno