CVE-2026-57943
ŚrednieCVSS 5.9Streszczenie
Podatność w LibrePhotos przed wersją 1.0.0 w punkcie końcowym SetPhotosShared umożliwia uwierzytelnionym użytkownikom ominięcie walidacji własności i przyznanie sobie dostępu do prywatnych zdjęć innych użytkowników. Atakujący mogą manipulować relacjami shared_to bez odpowiednich kontroli właściciela, aby odczytać dowolne prywatne zdjęcia.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym dostępie do prywatnych zdjęć innych użytkowników, co może prowadzić do naruszenia prywatności i wycieku wrażliwych danych w organizacji.
Rekomendacja
Należy niezwłocznie zaktualizować LibrePhotos do wersji 1.0.0 lub nowszej, która zawiera poprawkę usuwającą lukę w autoryzacji na poziomie obiektu.
Oryginalny opis (angielski, źródło NVD)
LibrePhotos before 1.0.0 contains a broken object level authorization vulnerability in the SetPhotosShared endpoint that allows authenticated users to grant themselves access to other users' private photos by bypassing ownership validation. Attackers can manipulate shared_to relations without proper owner checks to read arbitrary private photos belonging to other users.

