Tautulli — это инструмент мониторинга и отслеживания на основе Python для Plex Media Server. До версии 2.17.0 конечная точка API /newsletter/image/images была уязвима для обхода путей, что позволяло неаутентифицированным злоумышленникам читать произвольные файлы из файловой системы сервера приложений. Эта проблема исправлена в версии 2.17.0.
Показать оригинальное описание (EN)
Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Prior to version 2.17.0, the /newsletter/image/images API endpoint is vulnerable to path traversal, allowing unauthenticated attackers to read arbitrary files from the application server's filesystem. This issue has been patched in version 2.17.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0