Plateforme
nodejs
Composant
trek-travel-planner
Corrigé dans
2.7.3
Avant la version 2.7.2, TREK manquait de vérifications d'autorisation sur les routes de gestion des photos Immich. Cette vulnérabilité est corrigée dans la version 2.7.2.
La vulnérabilité CVE-2026-40185 dans TREK, un planificateur de voyages collaboratif, permet à des utilisateurs non autorisés d'accéder et de manipuler potentiellement la gestion des photos de voyage dans Immich. En raison de l'absence de vérifications d'autorisation appropriées sur les routes de gestion des photos Immich, un attaquant pourrait, en théorie, télécharger, supprimer ou modifier des photos appartenant à d'autres utilisateurs. Le score CVSS est de 7,1, ce qui indique un risque modérément élevé. Cette vulnérabilité pourrait compromettre la confidentialité et l'intégrité des données des utilisateurs de TREK qui utilisent l'intégration Immich.
L'exploitation de cette vulnérabilité nécessite un accès à l'API TREK et une compréhension de base de son fonctionnement. Un attaquant pourrait utiliser des outils tels que curl ou Postman pour envoyer des requêtes malveillantes aux routes de gestion des photos, en contournant les vérifications d'autorisation manquantes. La difficulté d'exploitation dépend de la configuration du réseau et des mesures de sécurité mises en œuvre. Bien qu'aucune exploitation active dans la nature n'ait été signalée, la vulnérabilité représente un risque important si elle n'est pas traitée.
Organizations and individuals utilizing TREK Travel Planner for collaborative travel planning are at risk, particularly those running versions 1.0.0 through 2.7.2. Shared hosting environments where multiple users share the same TREK Travel Planner instance are also at increased risk, as a compromised account could potentially expose data for other users.
• nodejs / server:
journalctl -u trek-travel-planner | grep -i "authorization bypass"• generic web:
curl -I https://<trek-travel-planner-url>/immich/trip-photos/ # Check for 200 OK without authenticationdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour TREK vers la version 2.7.2 ou supérieure. Cette version inclut les correctifs d'autorisation nécessaires pour empêcher l'accès non autorisé aux fonctions de gestion des photos Immich. Il est fortement recommandé à tous les utilisateurs de TREK de mettre à jour leurs installations dès que possible afin d'atténuer le risque d'exploitation. De plus, examinez les permissions d'accès à Immich pour vous assurer que seuls les utilisateurs autorisés ont accès aux photos de voyage. Surveillez les journaux système à la recherche d'activités suspectes.
Actualice TREK a la versión 2.7.2 o superior para mitigar la vulnerabilidad de autorización. Esta actualización implementa las verificaciones de autorización necesarias en las rutas de gestión de fotos de Immich, previniendo el acceso no autorizado a los datos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
TREK est un planificateur de voyages collaboratif qui permet aux utilisateurs d'organiser et de partager leurs plans de voyage.
Immich est une application de gestion de photos auto-hébergée.
Consultez la documentation officielle de TREK pour obtenir des instructions sur la façon de mettre à jour vers la version 2.7.2 ou supérieure.
Restreignez l'accès à l'API TREK et examinez les permissions d'accès à Immich.
Aucune exploitation active dans la nature n'a été signalée, mais il est recommandé de mettre à jour pour atténuer le risque.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.