关联漏洞
标题:
Jellyfin 路径遍历漏洞
(CVE-2021-21402)
描述:Jellyfin是一个免费软件媒体系统。可让您控制媒体的管理和流式传输。它是专有Emby和Plex的替代产品,可以通过多个应用程序将专用服务器中的媒体提供给最终用户设备。 Jellyfin before version 10.7.1存在安全漏洞,该漏洞源于精心制作的请求将允许从Jellyfin服务器的文件系统读取任意文件。
描述
本项目涉及到的仅为安全研究和授权情况下使用,其使用人员有责任和义务遵守当地法律条规。
介绍
#CVE-2021-21402 Jellyfin任意文件读取
漏洞简介
jellyfin是一个自由的软件媒体系统,用于控制和管理媒体和流媒体。它是emby和plex的替代品,它通过多个应用程序从专用服务器向终端用户设备提供媒体。Jellyfin属于Emby 3.5.2 .NET核心框架,以支持完全的跨平台支持。
Jellyfin10.7.1版本中,攻击者恶意构造请求将允许从Jellyfin服务器的文件系统中读取任意文件。当Windows使用主机OS时,此问题更加普遍。暴露于公共Internet的服务器可能会受到威胁。在版本10.7.1中已修复此问题。解决方法是,用户可以通过在文件系统上实施严格的安全权限来限制某些访问。
影响版本:
果冻<10.7.1
解决方案
1.升级 Jellyfin 至安全版本(10.7.1):
https://jellyfin.org/downloads/
2.用户通过在文件系统上实施严格的安全权限来限制某些访问。
文件快照
[4.0K] /data/pocs/b36720a0293552357b705fdfd2f0c7b7d0162fe5
├── [1.9K] CVE-2021-21402.py
└── [ 934] README.md
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。