Katalog CVE

CVE-2026-53662

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Immich, rozwiązanie do zarządzania zdjęciami i filmami, ma podatność na refleksyjny atak XSS na stronie /auth/login. Atakujący może przejąć konto uwierzytelnionego użytkownika za pomocą jednego kliknięcia w link.

Ocena ryzyka

Podatność ta umożliwia atakującemu uzyskanie pełnej kontroli nad kontem użytkownika, co prowadzi do trwałego przejęcia konta. Może to skutkować wyciekiem danych i innymi poważnymi konsekwencjami dla organizacji.

Rekomendacja

Zaleca się aktualizację Immich do wersji zawierającej poprawkę wprowadzoną w commicie 4eb1003. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, aby zminimalizować ryzyko ataków XSS.

Oryginalny opis (angielski, źródło NVD)

immich is a high performance self-hosted photo and video management solution. From commit 4ffa26c9 until 4eb1003, a reflected cross-site scripting (XSS) vulnerability on the /auth/login page allows an attacker to fully compromise any authenticated user's account with a single link click. The continue query parameter is read from the URL and passed to SvelteKit's redirect() without any scheme or origin validation, allowing attacker-controlled JavaScript to execute inside Immich's origin. The payload then uses the victim's existing session to mint an all-permission API key on their account, leading to persistent account takeover. This vulnerability is fixed in commit 4eb1003.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS