CVE-2025-68402は、自己ホスト型のRSSアグリゲーターであるFreshRSSにおける認証バイパスの脆弱性です。この脆弱性により、攻撃者は誤ったパスワードを入力しても認証を通過し、システムにアクセスできる可能性があります。影響を受けるバージョンは57e1a37000000000000000000000000000000000–< 476e57b04646416e24e24c56133c9fadf9e52b95です。この問題は1.27.2-dev (476e57b)で修正されています。
この認証バイパス脆弱性は、攻撃者がFreshRSSシステムに不正にアクセスすることを可能にします。攻撃者は、認証を回避して機密情報にアクセスしたり、設定を変更したり、悪意のあるスクリプトを実行したりする可能性があります。この脆弱性は、FreshRSSをホストしているサーバー全体のセキュリティを損なう可能性があります。特に、FreshRSSが他の重要なシステムと統合されている場合、攻撃者はこの脆弱性を悪用して、他のシステムにもアクセスする可能性があります。この脆弱性は、パスワードの検証ロジックの誤りによって発生しており、bcryptの入力制限を悪用することで、誤ったパスワードでも認証が成功してしまうという問題です。
この脆弱性は、FreshRSSの開発版でのみ存在し、安定版リリースには影響しません。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISA KEVカタログへの登録状況は不明です。NVD(National Vulnerability Database)への登録日は2026年3月9日です。
エクスプロイト状況
EPSS
0.05% (17% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、FreshRSSをバージョン1.27.2-dev (476e57b)以降にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、WAF(Web Application Firewall)を導入し、不正な認証試行をブロックするルールを設定することを検討してください。また、パスワードポリシーを強化し、複雑なパスワードの使用を義務付けることで、攻撃のリスクを軽減できます。アップデート後、パスワード検証機能が正常に動作していることを確認してください。
FreshRSS を 1.27.2-dev (commit 476e57b) 以降のバージョンにアップデートしてください。このバージョンは、bcrypt ハッシュの切り捨てによって引き起こされる認証バイパスの脆弱性を修正しています。アップデートすることで、パスワード検証が正しく行われ、不正アクセスを防ぐことができます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-68402は、FreshRSSにおける認証バイパスの脆弱性です。誤ったパスワードでもログインできてしまう可能性があります。
FreshRSSのバージョンが57e1a37000000000000000000000000000000000–< 476e57b04646416e24e24c56133c9fadf9e52b95である場合、影響を受けます。
FreshRSSをバージョン1.27.2-dev (476e57b)以降にアップデートしてください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。
FreshRSSの公式アドバイザリは、FreshRSSのウェブサイトまたはGitHubリポジトリで確認できます。