Platform
nodejs
Component
trek-travel-planner
Opgelost in
2.7.3
TREK, een collaboratieve reisplanner, miste autorisatiecontroles op de Immich trip foto management routes. Dit stelde aanvallers in staat om ongeautoriseerd toegang te krijgen tot trip foto's. Deze kwetsbaarheid is verholpen in versie 2.7.2.
CVE-2026-40185 in TREK, een collaboratieve reisplanner, stelt ongeautoriseerde gebruikers in staat om toegang te krijgen tot en mogelijk de foto-beheerfuncties binnen Immich te manipuleren. Vanwege ontbrekende autorisatiecontroles op de Immich reis-fotobeheerroutes, zou een aanvaller in theorie foto's van andere gebruikers kunnen uploaden, verwijderen of wijzigen. De CVSS-score is 7.1, wat een matig hoog risico aangeeft. Deze kwetsbaarheid kan de privacy en integriteit van de gegevens van TREK-gebruikers die de Immich-integratie gebruiken, in gevaar brengen.
Het exploiteren van deze kwetsbaarheid vereist toegang tot de TREK API en een basisbegrip van hoe je ermee kunt interageren. Een aanvaller kan tools zoals curl of Postman gebruiken om kwaadaardige verzoeken naar de foto-beheerroutes te sturen, waarbij de ontbrekende autorisatiecontroles worden omzeild. De moeilijkheidsgraad van de exploitatie hangt af van de netwerkconfiguratie en de geïmplementeerde beveiligingsmaatregelen. Hoewel er geen actieve exploitatie in het wild is gemeld, vormt de kwetsbaarheid een aanzienlijk risico als deze niet wordt aangepakt.
Organizations and individuals utilizing TREK Travel Planner for collaborative travel planning are at risk, particularly those running versions 1.0.0 through 2.7.2. Shared hosting environments where multiple users share the same TREK Travel Planner instance are also at increased risk, as a compromised account could potentially expose data for other users.
• nodejs / server:
journalctl -u trek-travel-planner | grep -i "authorization bypass"• generic web:
curl -I https://<trek-travel-planner-url>/immich/trip-photos/ # Check for 200 OK without authenticationdisclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om TREK te updaten naar versie 2.7.2 of hoger. Deze versie bevat de benodigde autorisatiecorrecties om ongeautoriseerde toegang tot de Immich foto-beheerfuncties te voorkomen. Het wordt ten zeerste aanbevolen dat alle TREK-gebruikers hun installaties zo snel mogelijk bijwerken om het risico op uitbuiting te verminderen. Controleer bovendien de Immich toegangsrechten om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot reis-foto's. Bewaak systeemlogboeken op verdachte activiteiten.
Actualice TREK a la versión 2.7.2 o superior para mitigar la vulnerabilidad de autorización. Esta actualización implementa las verificaciones de autorización necesarias en las rutas de gestión de fotos de Immich, previniendo el acceso no autorizado a los datos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
TREK is een collaboratieve reisplanner waarmee gebruikers hun reisplannen kunnen organiseren en delen.
Immich is een zelfgehoste foto-beheer applicatie.
Raadpleeg de officiële TREK documentatie voor instructies over hoe je kunt updaten naar versie 2.7.2 of hoger.
Beperk de toegang tot de TREK API en controleer de Immich toegangsrechten.
Er is geen actieve exploitatie in het wild gemeld, maar het wordt aanbevolen om te updaten om het risico te verminderen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.