漏洞概述 Tautulli SQL注入漏洞(CVE-2024-51799) API端点存在SQL注入漏洞, 、 、 、 等查询参数未经参数化处理直接拼接到SQL语句中。拥有Tautulli管理员API密钥的攻击者可注入任意SQL,通过布尔盲注从SQLite数据库中提取任意数据。 --- 影响范围 可窃取数据: - 各Plex用户的Plex Media Server API令牌 - Plex OAuth令牌 - 所有用户的完整观看历史 , - 登录审计日志(IP和用户代理) 漏洞限制: 注入位于SELECT语句的WHERE子句中,写操作(INSERT/UPDATE/DELETE)不可直接利用,因SQLite的Python sqlite3模块拒绝多语句执行。 --- POC代码 --- 修复方案 将 中的字符串格式化替换为SQLite参数化查询: 修复前(存在漏洞): 修复后(安全): 、 、 参数采用相同修复模式。 补丁版本: v2.16.2