Vulnerabilidad en immich (CVE-2025-43856)

immich es una solución de gestión de fotos y vídeos autoalojada de alto rendimiento. En versiones anteriores a la versión 1.132.0, immich era vulnerable al secuestro de cuentas mediante OAuth2, ya que no se verificaba el parámetro de estado. Este parámetro de estado de OAuth2 es similar a un token CSRF; por lo tanto, cuando el usuario inicia el flujo de inicio de sesión, se genera este token impredecible, que se guarda de alguna manera en la sesión del navegador y se transmite al proveedor de identidad, que devolverá el parámetro de estado al redirigir al usuario de vuelta a immich. Antes de que el usuario inicie sesión, es necesario verificar dicho parámetro para garantizar que el usuario inició el inicio de sesión activamente en esta sesión del navegador. Por sí solo, esto no sería tan grave, pero cuando immich usa la página /user-settings como redirect_uri, vinculará automáticamente las cuentas si el usuario ya ha iniciado sesión. Esto significa que si alguien tiene una instancia de immich con un proveedor público de OAuth (como Google), un atacante puede, por ejemplo, incrustar un iframe oculto en una página web o incluso enviar a la víctima una URL de inicio de sesión de OAuth falsificada con un código que inicia sesión en la cuenta de OAuth del atacante, redirige a immich y vincula las cuentas. Después, el atacante puede iniciar sesión en la cuenta de la víctima con sus propias credenciales de OAuth. Esta vulnerabilidad está corregida en la versión 1.132.0.