CVE-2025-58762 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Tautulli 的 `pms_image_proxy` 端点存在**文件写入漏洞**。💥 **后果**：攻击者可利用此漏洞实现**远程代码执行 (RCE)**，彻底接管服务器。

🔍 **CWE**：CWE-73（外部组件控制路径）。📍 **缺陷点**：`pms_image_proxy` 接口在处理请求时，未严格校验文件路径，导致恶意文件被写入服务器。

📦 **产品**：Tautulli（Plex 媒体服务器监控工具）。📅 **版本**：**2.15.3 及之前版本**均受影响。

👑 **权限**：攻击者可获得服务器最高权限。📂 **数据**：可读取/篡改任意文件，执行任意系统命令，完全控制 Plex 监控环境。

🔐 **门槛**：中等。需 **PR:H** (High Privileges Required)，即攻击者需具备**认证账号**才能触发漏洞。非完全匿名利用。

📜 **Exp**：目前**无公开 PoC** 或**在野利用**报告。🔒 漏洞细节尚未完全公开，暂无现成脚本。

🔎 **自查**：检查 Tautulli 版本是否 **≤ 2.15.3**。🌐 **扫描**：监测对 `pms_image_proxy` 端点的异常文件写入请求或路径遍历行为。

🛡️ **补丁**：已修复。🔗 **参考**：GitHub Commit `26e6b32` 及安全公告 `GHSA-pxhr-29gv-4j8v`。请立即升级至最新版本。

⚠️ **临时规避**：若无法立即升级，建议**限制访问权限**，仅允许可信 IP 访问 Tautulli，并严格监控 `pms_image_proxy` 日志。

🔥 **优先级**：**高**。CVSS 评分极高 (H/I/A:H)，且涉及 RCE。虽需认证，但一旦突破后果严重，建议**立即升级**。