Katalog CVE

CVE-2026-57943

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w LibrePhotos przed wersją 1.0.0 w punkcie końcowym SetPhotosShared umożliwia uwierzytelnionym użytkownikom ominięcie walidacji własności i przyznanie sobie dostępu do prywatnych zdjęć innych użytkowników. Atakujący mogą manipulować relacjami shared_to bez odpowiednich kontroli właściciela, aby odczytać dowolne prywatne zdjęcia.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym dostępie do prywatnych zdjęć innych użytkowników, co może prowadzić do naruszenia prywatności i wycieku wrażliwych danych w organizacji.

Rekomendacja

Należy niezwłocznie zaktualizować LibrePhotos do wersji 1.0.0 lub nowszej, która zawiera poprawkę usuwającą lukę w autoryzacji na poziomie obiektu.

Oryginalny opis (angielski, źródło NVD)

LibrePhotos before 1.0.0 contains a broken object level authorization vulnerability in the SetPhotosShared endpoint that allows authenticated users to grant themselves access to other users' private photos by bypassing ownership validation. Attackers can manipulate shared_to relations without proper owner checks to read arbitrary private photos belonging to other users.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS