漏洞关键信息 漏洞概述 漏洞名称: 未授权账户注册,通过Jellyfin认证端点在Plex配置的Seerr实例上 严重性: 高(7.3/10) CVE ID: CVE-2026-27707 影响版本: >= 2.0.0 修复版本: 3.1.0 漏洞详情 受影响配置: - 设置为 。 - 设置为空字符串 。 - 设置为 。 根本原因: 文件中的第241到251行存在逻辑漏洞,导致未授权访问。 预期行为: Jellyfin登录端点应在服务器明确配置为Jellyfin时才接受请求;对于Plex配置的实例,应拒绝所有Jellyfin登录尝试。 实际行为: 未授权攻击者可以通过提供自己的Jellyfin服务器详细信息注册新的Seerr账户,绕过Plex基访问控制并获得具有默认权限的有效会话。 弱点 CWE-288: 身份验证机制的不当实现 CWE-807: 使用不具备所需计算强度的错误验证机制 安全建议 更新Seerr至3.1.0或更高版本以修复此漏洞。 审查并加强服务器端的身份验证逻辑,确保只在适当的配置下允许特定操作。