Tautulli — это инструмент мониторинга и отслеживания на основе Python для Plex Media Server. Начиная с версии 1.3.10 и до версии 2.17.0, необработанный параметр обратного вызова JSONP позволяет внедрять сценарии из разных источников и кражу ключей API. Эта проблема исправлена в версии 2.17.0.
Показать оригинальное описание (EN)
Tautulli is a Python based monitoring and tracking tool for Plex Media Server. From version 1.3.10 to before version 2.17.0, an unsanitized JSONP callback parameter allows cross-origin script injection and API key theft. This issue has been patched in version 2.17.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0