CVE-2026-53662
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Immich, rozwiązanie do zarządzania zdjęciami i filmami, ma podatność na refleksyjny atak XSS na stronie /auth/login. Atakujący może przejąć konto uwierzytelnionego użytkownika za pomocą jednego kliknięcia w link.
Ocena ryzyka
Podatność ta umożliwia atakującemu uzyskanie pełnej kontroli nad kontem użytkownika, co prowadzi do trwałego przejęcia konta. Może to skutkować wyciekiem danych i innymi poważnymi konsekwencjami dla organizacji.
Rekomendacja
Zaleca się aktualizację Immich do wersji zawierającej poprawkę wprowadzoną w commicie 4eb1003. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, aby zminimalizować ryzyko ataków XSS.
Oryginalny opis (angielski, źródło NVD)
immich is a high performance self-hosted photo and video management solution. From commit 4ffa26c9 until 4eb1003, a reflected cross-site scripting (XSS) vulnerability on the /auth/login page allows an attacker to fully compromise any authenticated user's account with a single link click. The continue query parameter is read from the URL and passed to SvelteKit's redirect() without any scheme or origin validation, allowing attacker-controlled JavaScript to execute inside Immich's origin. The payload then uses the victim's existing session to mint an all-permission API key on their account, leading to persistent account takeover. This vulnerability is fixed in commit 4eb1003.

