CVE-2026-53662 - Immich - XSS
A vulnerabilidade é uma falha de cross-site scripting (XSS) refletida na página de login do Immich, que permite a um atacante comprometer a conta de um usuário autenticado com um único clique em um link. Isso ocorre porque o parâmetro de consulta 'continue' é lido da URL e passado para o redirect() do SvelteKit sem validação de esquema ou origem, permitindo a execução de JavaScript controlado pelo atacante dentro do Immich. O payload então usa a sessão existente da vítima para criar uma chave de API com todas as permissões na conta, levando à tomada de conta persistente.
CVE: CVE-2026-53662
Severidade: CRITICAL
Resumo:
A vulnerabilidade é uma falha de cross-site scripting (XSS) refletida na página de login do Immich, que permite a um atacante comprometer a conta de um usuário autenticado com um único clique em um link. Isso ocorre porque o parâmetro de consulta 'continue' é lido da URL e passado para o redirect() do SvelteKit sem validação de esquema ou origem, permitindo a execução de JavaScript controlado pelo atacante dentro do Immich. O payload então usa a sessão existente da vítima para criar uma chave de API com todas as permissões na conta, levando à tomada de conta persistente.
CVSS: 9.6