CVE-2025-43856

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-43856
immich is a high performance self-hosted photo and video management solution. Prior to 1.132.0, immich is vulnerable to account hijacking through oauth2, because the state parameter is not being checked. The oauth2 state parameter is similar to a csrf token, so when the user starts the login flow this unpredictable token is generated and somehow saved in the browser session and passed to the identity provider, which will return the state parameter when redirecting the user back to immich. Before the user is logged in that parameter needs to be verified to make sure the login was actively initiated by the user in this browser session. On it's own, this wouldn't be too bad, but when immich uses the /user-settings page as a redirect_uri, it will automatically link the accounts if the user was already logged in. This means that if someone has an immich instance with a public oauth provider (like google), an attacker can - for example - embed a hidden iframe in a webpage or even just send the victim a forged oauth login url with a code that logs the victim into the attackers oauth account and redirects back to immich and links the accounts. After this, the attacker can log into the victims account using their own oauth credentials. This vulnerability is fixed in 1.132.0.
CVSS

No CVSS.

References
Link Resource
https://github.com/immich-app/immich/security/advisories/GHSA-3832-6r8h-9cfm
Configurations

No configuration.

History

15 Jul 2025, 13:14

Type Values Removed Values Added
Summary
  • (es) immich es una solución de gestión de fotos y vídeos autoalojada de alto rendimiento. En versiones anteriores a la versión 1.132.0, immich era vulnerable al secuestro de cuentas mediante OAuth2, ya que no se verificaba el parámetro de estado. Este parámetro de estado de OAuth2 es similar a un token CSRF; por lo tanto, cuando el usuario inicia el flujo de inicio de sesión, se genera este token impredecible, que se guarda de alguna manera en la sesión del navegador y se transmite al proveedor de identidad, que devolverá el parámetro de estado al redirigir al usuario de vuelta a immich. Antes de que el usuario inicie sesión, es necesario verificar dicho parámetro para garantizar que el usuario inició el inicio de sesión activamente en esta sesión del navegador. Por sí solo, esto no sería tan grave, pero cuando immich usa la página /user-settings como redirect_uri, vinculará automáticamente las cuentas si el usuario ya ha iniciado sesión. Esto significa que si alguien tiene una instancia de immich con un proveedor público de OAuth (como Google), un atacante puede, por ejemplo, incrustar un iframe oculto en una página web o incluso enviar a la víctima una URL de inicio de sesión de OAuth falsificada con un código que inicia sesión en la cuenta de OAuth del atacante, redirige a immich y vincula las cuentas. Después, el atacante puede iniciar sesión en la cuenta de la víctima con sus propias credenciales de OAuth. Esta vulnerabilidad está corregida en la versión 1.132.0.

11 Jul 2025, 17:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-07-11 17:15

Updated : 2025-07-15 13:14

NVD link : CVE-2025-43856

Mitre link : CVE-2025-43856

CVE.ORG link : CVE-2025-43856

JSON object : View

Products Affected

No product.

CWE
CWE-303

Incorrect Implementation of Authentication Algorithm