CVE-2021-21402 : Unauthenticated Arbitrary File Access in Jellyfin

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2021-21402 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

Unauthenticated Arbitrary File Access in Jellyfin

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

Jellyfin is a Free Software Media System. In Jellyfin before version 10.7.1, with certain endpoints, well crafted requests will allow arbitrary file read from a Jellyfin server's file system. This issue is more prevalent when Windows is used as the host OS. Servers that are exposed to the public Internet are potentially at risk. This is fixed in version 10.7.1. As a workaround, users may be able to restrict some access by enforcing strict security permissions on their filesystem, however, it is recommended to update as soon as possible.

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

对路径名的限制不恰当(路径遍历)

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

Jellyfin 路径遍历漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

Jellyfin是一个免费软件媒体系统。可让您控制媒体的管理和流式传输。它是专有Emby和Plex的替代产品，可以通过多个应用程序将专用服务器中的媒体提供给最终用户设备。 Jellyfin before version 10.7.1存在安全漏洞，该漏洞源于精心制作的请求将允许从Jellyfin服务器的文件系统读取任意文件。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
jellyfin	jellyfin	< 10.7.1	-

二、漏洞 CVE-2021-21402 的公开POC

#	POC 描述	源链接	神龙链接
1	CVE-2021-21402-Jellyfin-任意文件读取	https://github.com/jiaocoll/CVE-2021-21402-Jellyfin	POC详情
2	本项目涉及到的仅为安全研究和授权情况下使用，其使用人员有责任和义务遵守当地法律条规。	https://github.com/somatrasss/CVE-2021-21402	POC详情
3	CVE-2021-21402 Jellyfin任意文件读取 Wker脚本，可批量。	https://github.com/givemefivw/CVE-2021-21402	POC详情
4	Jellyfin before 10.7.0 is vulnerable to local file inclusion. This issue is more prevalent when Windows is used as the host OS. Servers exposed to public Internet are potentially at risk.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-21402.yaml	POC详情
5	None	https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Jellyfin%20%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%20CVE-2021-21402.md	POC详情

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2021-21402 的情报信息

Please 登录 to view more intelligence information

https://github.com/jellyfin/jellyfin/releases/tag/v10.7.1x_refsource_MISC
https://github.com/jellyfin/jellyfin/security/advisories/GHSA-wg4c-c9g9-rxhxx_refsource_CONFIRM
https://github.com/jellyfin/jellyfin/commit/0183ef8e89195f420c48d2600bc0b72f6d3a7fd7x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2021-21402

四、漏洞 CVE-2021-21402 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2021-21402 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2021-21402 的公开POC

三、漏洞 CVE-2021-21402 的情报信息

四、漏洞 CVE-2021-21402 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2021-21402 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2021-21402 的公开POC

三、漏洞 CVE-2021-21402 的情报信息

四、漏洞 CVE-2021-21402 的评论

发表评论

一、漏洞 CVE-2021-21402 基础信息