漏洞信息
# Jellyfin中的未经身份验证的任意文件访问漏洞
## 漏洞概述
Jellyfin 是一个开源媒体系统,在 Jellyfin 版本 10.7.1 以前,特定端点的精心构造的请求允许从 Jellyfin 服务器文件系统中读取任意文件。此问题在使用 Windows 作为主机操作系统时更为明显。
## 影响版本
- 10.7.1 之前的版本
## 漏洞细节
精心构造的请求可以通过特定的端点从 Jellyfin 服务器的文件系统中读取任意文件。此漏洞在使用 Windows 作为主机操作系统时更为严重。暴露在公共互联网上的服务器可能面临风险。
## 影响
- 可以从服务器文件系统中读取任意文件
- 暴露在公共互联网上的服务器可能面临风险
## 修复建议
- 升级到版本 10.7.1
- 作为临时解决方案,可以通过严格的文件系统安全权限限制部分访问
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unauthenticated Arbitrary File Access in Jellyfin
漏洞描述信息
Jellyfin is a Free Software Media System. In Jellyfin before version 10.7.1, with certain endpoints, well crafted requests will allow arbitrary file read from a Jellyfin server's file system. This issue is more prevalent when Windows is used as the host OS. Servers that are exposed to the public Internet are potentially at risk. This is fixed in version 10.7.1. As a workaround, users may be able to restrict some access by enforcing strict security permissions on their filesystem, however, it is recommended to update as soon as possible.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Jellyfin 路径遍历漏洞
漏洞描述信息
Jellyfin是一个免费软件媒体系统。可让您控制媒体的管理和流式传输。它是专有Emby和Plex的替代产品,可以通过多个应用程序将专用服务器中的媒体提供给最终用户设备。 Jellyfin before version 10.7.1存在安全漏洞,该漏洞源于精心制作的请求将允许从Jellyfin服务器的文件系统读取任意文件。
CVSS信息
N/A
漏洞类别
路径遍历