Jellyfin — это автономный медиасервер с открытым исходным кодом. Версии до 10.11.7 содержат цепочку уязвимостей в конечной точке тюнера LiveTV M3U (POST/LiveTv/TunerHosts), где URL-адрес тюнера не проверяется, что позволяет читать локальные файлы по путям, отличным от HTTP, и подделку запросов на стороне сервера (SSRF) через URL-адреса HTTP. Это может использовать любой прошедший проверку подлинности пользователь, поскольку разрешение EnableLiveTvManagement по умолчанию имеет значение true для всех новых пользователей.
Злоумышленник может объединить эти уязвимости, добавив тюнер M3U, указывающий на сервер, контролируемый злоумышленником, обслуживая созданный M3U с каналом, указывающим на базу данных Jellyfin, проникнув в базу данных для извлечения токенов сеанса администратора и перейдя к привилегиям администратора. Эта проблема исправлена в версии 10.11.7. Если пользователи не могут выполнить обновление немедленно, они могут отключить права управления Live TV для всех пользователей.
Показать оригинальное описание (EN)
Jellyfin is an open source self hosted media server. Versions prior to 10.11.7 contain a vulnerability chain in the LiveTV M3U tuner endpoint (POST /LiveTv/TunerHosts), where the tuner URL is not validated, allowing local file read via non-HTTP paths and Server-Side Request Forgery (SSRF) via HTTP URLs. This is exploitable by any authenticated user because the EnableLiveTvManagement permission defaults to true for all new users. An attacker can chain these vulnerabilities by adding an M3U tuner pointing to an attacker-controlled server, serving a crafted M3U with a channel pointing to the Jellyfin database, exfiltrating the database to extract admin session tokens, and escalating to admin privileges. This issue has been fixed in version 10.11.7. If users are unable to upgrade immediately, they can disable Live TV Management privileges for all users.
Характеристики атаки
Последствия
Строка CVSS v4.0