Plattform
nodejs
Komponente
trek-travel-planner
Behoben in
2.7.3
TREK, a collaborative travel planner, contains a vulnerability where authorization checks are missing on Immich trip photo management routes. This allows unauthorized access and manipulation of trip photos. The vulnerability is resolved in version 2.7.2, ensuring proper authentication for photo management operations.
CVE-2026-40185 in TREK, einem kollaborativen Reiseplaner, ermöglicht unautorisierten Benutzern, auf die Verwaltung von Reisefotos in Immich zuzugreifen und diese potenziell zu manipulieren. Aufgrund fehlender Autorisierungsprüfungen auf den Immich-Reisefoto-Verwaltungsrouten könnte ein Angreifer theoretisch Fotos anderer Benutzer hochladen, löschen oder ändern. Der CVSS-Wert beträgt 7,1, was ein moderat hohes Risiko anzeigt. Diese Schwachstelle könnte die Privatsphäre und Integrität der Daten von TREK-Benutzern gefährden, die die Immich-Integration nutzen.
Die Ausnutzung dieser Schwachstelle erfordert Zugriff auf die TREK-API und ein grundlegendes Verständnis, wie man mit ihr interagiert. Ein Angreifer könnte Tools wie curl oder Postman verwenden, um bösartige Anfragen an die Fotoverwaltungsrouten zu senden und dabei die fehlenden Autorisierungsprüfungen zu umgehen. Der Schwierigkeitsgrad der Ausnutzung hängt von der Netzwerkkonfiguration und den implementierten Sicherheitsmaßnahmen ab. Obwohl keine aktive Ausnutzung in der Wildnis gemeldet wurde, stellt die Schwachstelle ein erhebliches Risiko dar, wenn sie nicht behoben wird.
Organizations and individuals utilizing TREK Travel Planner for collaborative travel planning are at risk, particularly those running versions 1.0.0 through 2.7.2. Shared hosting environments where multiple users share the same TREK Travel Planner instance are also at increased risk, as a compromised account could potentially expose data for other users.
• nodejs / server:
journalctl -u trek-travel-planner | grep -i "authorization bypass"• generic web:
curl -I https://<trek-travel-planner-url>/immich/trip-photos/ # Check for 200 OK without authenticationdisclosure
Exploit-Status
EPSS
0.03% (8% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, TREK auf Version 2.7.2 oder höher zu aktualisieren. Diese Version enthält die erforderlichen Autorisierungskorrekturen, um unbefugten Zugriff auf die Immich-Fotoverwaltungsfunktionen zu verhindern. Es wird dringend empfohlen, dass alle TREK-Benutzer ihre Installationen so schnell wie möglich aktualisieren, um das Risiko einer Ausnutzung zu mindern. Überprüfen Sie außerdem die Immich-Zugriffsberechtigungen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf Reisefotos haben. Überwachen Sie die Systemprotokolle auf verdächtige Aktivitäten.
Actualice TREK a la versión 2.7.2 o superior para mitigar la vulnerabilidad de autorización. Esta actualización implementa las verificaciones de autorización necesarias en las rutas de gestión de fotos de Immich, previniendo el acceso no autorizado a los datos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
TREK ist ein kollaborativer Reiseplaner, der es Benutzern ermöglicht, ihre Reisepläne zu organisieren und zu teilen.
Immich ist eine selbstgehostete Fotoverwaltungsanwendung.
Konsultieren Sie die offizielle TREK-Dokumentation für Anweisungen, wie Sie auf Version 2.7.2 oder höher aktualisieren können.
Beschränken Sie den Zugriff auf die TREK-API und überprüfen Sie die Immich-Zugriffsberechtigungen.
Es wurden keine aktiven Ausnutzungen in der Wildnis gemeldet, aber es wird empfohlen, zu aktualisieren, um das Risiko zu mindern.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.