CVE-2026-25118 CVSS 7.5 高危

CVE-2026-25118 Immich共享相册凭据泄露漏洞

披露日期: 2026-04-03

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-25118

漏洞类型

信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Immich

漏洞概述

Immich是一款高性能自托管照片和视频管理解决方案。在2.6.0版本之前，当用户对共享相册进行身份验证时，应用会在发送到/api/shared-links/me的GET请求URL查询参数中传输相册密码。这导致密码暴露在浏览器历史、代理服务器日志、服务器日志及Referer头中，造成认证凭据泄露，可能导致共享相册被未授权访问及敏感数据泄露。该问题已在2.6.0版本中修复。

技术细节

该漏洞的成因在于Immich应用在处理共享相册认证时，错误地使用了GET请求并在URL中传递敏感凭据。当用户访问受密码保护的共享相册时，客户端向/api/shared-links/me接口发起请求，相册密码直接拼接在URL参数中。由于GET请求的完整URL通常会被Web服务器、中间代理、防火墙记录在访问日志中，同时也会保存在用户的浏览器历史记录里。如果页面包含外部资源，Referer头还会将URL泄露给第三方。攻击者无需任何交互，只要能够读取到上述日志或历史记录，即可截获明文密码，进而非法获取相册内的隐私数据。

攻击链分析

STEP 1

1. 用户访问

用户点击链接或输入URL，尝试访问受密码保护的Immich共享相册。

STEP 2

2. 发起请求

Immich客户端向/api/shared-links/me发送GET请求，将相册密码作为查询参数附加在URL中。

STEP 3

3. 信息记录

包含明文密码的完整URL被记录在浏览器历史、服务器访问日志或代理服务器日志中。

STEP 4

4. 信息泄露

拥有日志访问权限的攻击者或恶意软件检索历史记录/日志，提取出相册密码。

STEP 5

5. 未授权访问

攻击者使用获取到的密码直接访问共享相册，获取其中的敏感照片和视频。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable Immich instance
target_url = "http://immich-instance/api/shared-links/me"

# The password that would be exposed in the URL
album_password = "MySecretPassword123"

# Vulnerable GET request simulation
# In a real scenario, this URL would be logged in proxy/server logs:
# http://immich-instance/api/shared-links/me?password=MySecretPassword123

response = requests.get(target_url, params={"password": album_password})

if response.status_code == 200:
    print("[+] Request successful.")
    print(f"[!] Credentials leaked via URL: {response.url}")
else:
    print("[-] Request failed.")

影响范围

Immich < 2.6.0

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用共享相册功能，并严格限制服务器及代理日志的访问权限，防止日志中的敏感URL被内部人员或攻击者利用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表