Plataforma
nodejs
Componente
trek-travel-planner
Corrigido em
2.7.3
O TREK Travel Planner continha uma vulnerabilidade devido à falta de verificações de autorização em rotas de gerenciamento de fotos Immich. Essa falha permitia que atacantes não autenticados manipulassem fotos. A correção foi implementada na versão 2.7.2, exigindo autenticação para gerenciar fotos.
A vulnerabilidade CVE-2026-40185 no TREK, um planejador de viagens colaborativo, permite que usuários não autorizados acessem e potencialmente manipulem o gerenciamento de fotos de viagens no Immich. Devido à falta de verificações de autorização adequadas nas rotas de gerenciamento de fotos, um atacante poderia, em teoria, enviar, excluir ou modificar fotos pertencentes a outros usuários. O CVSS foi classificado com 7.1, indicando um risco moderadamente alto. Esta vulnerabilidade pode comprometer a privacidade e a integridade dos dados dos usuários do TREK que utilizam a integração com o Immich.
A exploração desta vulnerabilidade requer acesso à API do TREK e um conhecimento básico de como interagir com ela. Um atacante pode usar ferramentas como curl ou Postman para enviar solicitações maliciosas para as rotas de gerenciamento de fotos, ignorando as verificações de autorização ausentes. A dificuldade de exploração depende da configuração da rede e das medidas de segurança implementadas. Embora não tenha sido relatada uma exploração ativa na natureza, a vulnerabilidade representa um risco significativo se não for abordada.
Organizations and individuals utilizing TREK Travel Planner for collaborative travel planning are at risk, particularly those running versions 1.0.0 through 2.7.2. Shared hosting environments where multiple users share the same TREK Travel Planner instance are also at increased risk, as a compromised account could potentially expose data for other users.
• nodejs / server:
journalctl -u trek-travel-planner | grep -i "authorization bypass"• generic web:
curl -I https://<trek-travel-planner-url>/immich/trip-photos/ # Check for 200 OK without authenticationdisclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o TREK para a versão 2.7.2 ou superior. Esta versão inclui as correções de autorização necessárias para prevenir o acesso não autorizado às funções de gerenciamento de fotos do Immich. Recomenda-se fortemente que todos os usuários do TREK atualizem suas instalações o mais rápido possível para mitigar o risco de exploração. Além disso, revise as permissões de acesso ao Immich para garantir que apenas os usuários autorizados tenham acesso às fotos de viagens. Monitore os registros do sistema em busca de atividades suspeitas.
Actualice TREK a la versión 2.7.2 o superior para mitigar la vulnerabilidad de autorización. Esta actualización implementa las verificaciones de autorización necesarias en las rutas de gestión de fotos de Immich, previniendo el acceso no autorizado a los datos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
TREK é um planejador de viagens colaborativo que permite aos usuários organizar e compartilhar seus planos de viagem.
Immich é um aplicativo de gerenciamento de fotos auto-hospedado.
Consulte a documentação oficial do TREK para obter instruções sobre como atualizar para a versão 2.7.2 ou superior.
Restrinja o acesso à API do TREK e revise as permissões de acesso ao Immich.
Não foram relatadas explorações ativas na natureza, mas é recomendável atualizar para mitigar o risco.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.