Tautulli — это инструмент мониторинга и отслеживания на основе Python для Plex Media Server. От версии 2.14.2 до версии 2.17.0 для параметров «before» и «after» и от версии 2.1.0-beta до версии до 2.17.0 для параметров «section_id» и «user_id» конечная точка /api/v2?cmd=get_home_stats передает параметры запросаsection_id, user_id, до и после непосредственно в SQL через форматирование %-строки Python без параметризации. Злоумышленник, обладающий ключом API администратора Tautulli, может внедрить произвольный SQL-код и извлечь любое значение из базы данных Tautulli SQLite посредством слепого логического вывода.
Эта проблема исправлена в версии 2.17.0.
Показать оригинальное описание (EN)
Tautulli is a Python based monitoring and tracking tool for Plex Media Server. From version 2.14.2 to before version 2.17.0 for parameters "before" and "after" and from version 2.1.0-beta to before version 2.17.0 for parameters "section_id" and "user_id", the /api/v2?cmd=get_home_stats endpoint passes the section_id, user_id, before, and after query parameters directly into SQL via Python %-string formatting without parameterization. An attacker who holds the Tautulli admin API key can inject arbitrary SQL and exfiltrate any value from the Tautulli SQLite database via boolean-blind inference. This issue has been patched in version 2.17.0.
Характеристики атаки
Последствия
Строка CVSS v3.1