在 GitHub 上拥有超过 7 万星标的热门开源自托管照片与视频管理项目 Immich 被披露存在严重漏洞。该漏洞编号为 CVE-2025-43856，CVSSv4，评分为 8.8（高风险），攻击者可利用其 OAuth2 实现机制的缺陷劫持用户账户。

项目维护者在披露中证实：“Immich 因未对 state 参数进行校验，存在通过 OAuth2 被劫持账户的风险。”

Immich 是一款注重隐私的自托管媒体管理工具，用户可借助它备份、整理和查看个人照片与视频。凭借直观的网页界面以及与移动应用的无缝集成，它已成为谷歌相册等云服务的主流替代方案，尤其受到注重隐私保护的用户青睐。

OAuth2 是被广泛采用的身份验证标准，其中包含一项名为 state 参数的关键安全机制，其作用类似跨站请求伪造（CSRF）令牌，用于确保身份提供商（如谷歌）的响应与用户浏览器发起的原始请求相匹配。

遗憾的是，Immich 未对该参数进行验证，这意味着任何 state 值 —— 即便是 state=gibberish 这类无意义的值 —— 都会被接受。

报告解释道：“state 参数类似于 CSRF 令牌…… 在用户登录前，需要验证该参数，以确保登录操作是由当前浏览器会话中的用户主动发起的。”

由于 Immich 将 /user-settings 端点用作 OAuth 重定向 URI，且该页面在用户已通过身份验证时会自动关联账户，这一漏洞的危险性进一步加剧。

这意味着，攻击者可构造一个看似正常的 OAuth 登录流程的恶意 URL，但其实际作用是：

将受害者登录至攻击者的 OAuth 账户将受害者的 Immich 账户与攻击者的凭据相关联使攻击者能够持续访问受害者的数据

只需一个隐藏的 iframe（内嵌框架）或缩短的链接，即可触发该攻击。

安全公告指出：“若有人的 Immich 实例使用公共 OAuth 提供商（如谷歌），攻击者可…… 在网页中嵌入隐藏的 iframe，甚至只需向受害者发送伪造的 OAuth 登录 URL。”

该漏洞影响所有使用谷歌、GitHub 等公共 OAuth2 提供商或任何通用单点登录（SSO）设置的 Immich 实例，无论这些实例是通过 Cloudflare 托管的自托管实例，还是可直接在网络上访问的实例。

在最糟糕的情况下，攻击者可能劫持管理员账户，将 OAuth 提供商重新配置为自己的，进而通过禁用密码登录、终止所有活跃会话等方式，将其他所有用户拒之门外。

报告警告：“若攻击者通过这种方式劫持管理员账户，他们可能…… 登录任意账户，并通过禁用密码登录的方式将管理员锁定在外。”

所有 1.132.0 版本之前的 Immich 均受该漏洞影响，目前 Immich 1.132.0 版本已修复此漏洞。