应用 Immich 高危漏洞通知 更新时间 20260625
漏洞名称:Immich 登录页重定向 XSS 账户接管漏洞
漏洞编号:CVE-2026-53662
风险等级:严重
影响范围: Immich main 分支 4ffa26c9 之后的构建版本,包括 :main Docker 标签及 nightly 版本
根据上游公告,Immich v2.7.5 及更早的正式稳定版本不受该漏洞影响。
风险描述: Immich Web 应用漏洞风险,出现在登录页面 continue 参数处理逻辑中。攻击者可能诱导已登录用户点击特制链接,在特定条件下触发页面脚本执行,进而利用当前登录会话创建高权限 API Key,造成账户被接管、照片视频数据泄露或被篡改等风险。
该漏洞需要用户已登录 Immich,并主动访问攻击者构造的链接后才可能触发。实际影响与 Immich 部署版本、访问暴露范围、用户登录状态及实例权限配置有关。
若用户在 fnOS 上通过 Docker 或第三方应用部署 Immich,建议尽快自查版本并切换至安全版本。
处置建议:
- 避免使用 Immich main/nightly 测试版本,建议切换至官方稳定版本或升级到包含修复的版本
- 如已部署受影响版本,建议暂停公网访问,升级后再恢复服务
- 检查 Immich 账户中的 API Keys,如发现异常或不明来源 Key,请立即删除
- 避免点击来源不明的 Immich 登录链接,尤其是包含跳转参数的链接
- 避免在 fnOS 上运行来源不可信的 Docker 容器/三方应用
