Plateforme
php
Composant
freshrss
Corrigé dans
1.26.3
La vulnérabilité CVE-2025-46341 concerne FreshRSS, un agrégateur de flux RSS auto-hébergé. Avant la version 1.26.2, lorsque le serveur utilise une authentification HTTP via un proxy inverse, il est possible d'usurper l'identité de n'importe quel utilisateur en manipulant les en-têtes Remote-User ou X-WebAuth-User. Cette faille permet un accès non autorisé à des services internes.
Un attaquant peut exploiter cette vulnérabilité SSRF pour contourner les contrôles d'accès et accéder à des services internes qui ne sont pas directement accessibles depuis l'extérieur. L'attaquant doit connaître l'adresse IP du serveur FreshRSS proxé et le nom d'utilisateur de l'administrateur, ainsi que posséder un compte sur l'instance. Cela pourrait permettre la lecture de données sensibles, l'exécution de commandes sur le serveur interne, ou l'accès à d'autres systèmes connectés au réseau interne. L'impact est amplifié si des services critiques sont exposés sur le réseau interne.
Cette vulnérabilité a été divulguée publiquement le 4 juin 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité de connaître l'adresse IP du serveur proxé et le nom d'utilisateur de l'administrateur, ce qui limite le champ d'application. Il n'est pas listé sur le KEV de CISA.
Organizations using FreshRSS behind a reverse proxy with HTTP authentication are at risk. This includes users of shared hosting environments where FreshRSS is deployed, as well as those with legacy configurations that do not properly validate HTTP headers.
• linux / server: Monitor access logs for requests containing suspicious Remote-User or X-WebAuth-User headers, particularly those originating from external sources.
grep -i 'Remote-User|X-WebAuth-User' /var/log/nginx/access.log | grep -v '127.0.0.1'• generic web: Use curl to test the 'add feed' endpoint with a URL pointing to an internal service. Check the response headers for unexpected behavior.
curl -I 'http://your-freshrss-instance/add_feed?url=http://internal-service/'disclosure
Statut de l'Exploit
EPSS
0.11% (percentile 29%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour FreshRSS vers la version 1.26.2 ou supérieure, qui corrige cette vulnérabilité. En attendant, si la mise à jour n'est pas immédiatement possible, il est recommandé de configurer le proxy inverse pour supprimer ou valider les en-têtes Remote-User et X-WebAuth-User. Vérifiez également les règles de votre pare-feu d'application web (WAF) pour bloquer les requêtes suspectes. Après la mise à jour, vérifiez que l'authentification HTTP via le proxy inverse fonctionne correctement et que les en-têtes sensibles ne sont pas transmis.
Mettez à jour FreshRSS à la version 1.26.2 ou supérieure. Cette version contient un correctif pour la vulnérabilité d'élévation de privilèges. La mise à jour peut être effectuée via l'interface d'administration de FreshRSS ou en téléchargeant la dernière version du logiciel et en remplaçant les fichiers existants.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-46341 est une vulnérabilité SSRF (Server-Side Request Forgery) dans FreshRSS, permettant à un attaquant de faire des requêtes à partir du serveur, potentiellement vers des services internes.
Vous êtes affecté si vous utilisez FreshRSS en version inférieure ou égale à 1.26.2 et que votre serveur est configuré avec une authentification HTTP via un proxy inverse.
Mettez à jour FreshRSS vers la version 1.26.2 ou supérieure. En attendant, configurez votre proxy inverse pour supprimer ou valider les en-têtes sensibles.
À l'heure actuelle, il n'y a pas d'indication d'une exploitation active de CVE-2025-46341, mais la vulnérabilité reste présente dans les versions non corrigées.
Consultez le site web de FreshRSS ou leur dépôt GitHub pour l'avis de sécurité officiel concernant CVE-2025-46341.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.