CVE-2026-35455Immich是一个高性能的自托管照片和视频管理解决方案。在2.7.0版本之前,该产品存在一个存储型跨站脚本(XSS)漏洞。该漏洞位于360°全景查看器功能中,允许任何经过身份认证的用户执行任意JavaScript代码。当受害者查看包含恶意文本的恶意全景图像并开启OCR叠加功能时,攻击者上传的图像中包含的恶意文本会被OCR提取,并在未经过滤的情况下通过innerHTML渲染,从而触发漏洞。
该漏洞的根本原因在于Immich全景查看器对OCR提取数据的处理逻辑存在严重的安全缺陷。攻击者首先利用低权限账户上传一张精心构造的等距长方投影图像,该图像的像素数据中经过特殊绘制,包含了恶意的HTML或JavaScript代码片段(如<script>标签或事件处理器)。当受害者浏览该图片并启用OCR功能时,系统后端或客户端会自动识别并提取图像中的文字内容。关键问题在于前端组件在展示这些识别出的文字时,直接使用了不安全的innerHTML属性将未经任何过滤的字符串插入到DOM树中。由于系统未对OCR结果进行HTML实体编码或使用DOMPurify等安全库进行清理,攻击者嵌入的Payload被浏览器解析为可执行代码。这使得攻击者能够完全控制受害者的浏览器会话,窃取Session Cookie、创建持久化的API密钥,进而隐蔽地获取私人照片、GPS轨迹及人脸生物识别信息等高度敏感数据。