Seerr — это менеджер медиа-запросов и обнаружения с открытым исходным кодом для Jellyfin, Plex и Emby. До версии 3.1.0 конечная точка GET /api/v1/user/:id возвращала полный объект настроек для любого пользователя, включая учетные данные Pushover, Pushbullet и Telegram, любому авторизованному запрашивающему, независимо от его уровня привилегий. Эту уязвимость можно использовать отдельно или в сочетании с обнаруженной уязвимостью создания учетной записи без аутентификации, CVE-2026-27707.
В сочетании эти две уязвимости создают цепочку с нулевым приоритетом доступа, которая приводит к утечке учетных данных стороннего API для всех пользователей, включая администраторов. Версия 3.1.0 содержит исправление как этой уязвимости, так и CVE-2026-27707.
Показать оригинальное описание (EN)
Seerr is an open-source media request and discovery manager for Jellyfin, Plex, and Emby. Prior to version 3.1.0, the `GET /api/v1/user/:id` endpoint returns the full settings object for any user, including Pushover, Pushbullet, and Telegram credentials, to any authenticated requester regardless of their privilege level. This vulnerability can be exploited alone or combined with the reported unauthenticated account creation vulnerability, CVE-2026-27707. When combined, the two vulnerabilities create a zero-prior-access chain that leaks third-party API credentials for all users, including administrators. Version 3.1.0 contains a fix for both this vulnerability and for CVE-2026-27707.
Характеристики атаки
Последствия
Строка CVSS v3.1