Jellyfin路径遍历漏洞
Jellyfin是一个免费软件媒体系统。可让您控制媒体的管理和流式传输。它是专有Emby和Plex的替代产品,可以通过多个应用程序将专用服务器中的媒体提供给最终用户设备。
一、漏洞分析
公开日期:2023-04-28
漏洞编号:CNVD-2023-32759/CVE-2022-30626
危害等级:高危
漏洞描述:Jellyfin 10.8.0至10.8.10之前版本存在路径遍历漏洞,该漏洞源于ClientLogController中在处理目录请求时的路径缺乏有效性检查,攻击者可利用该漏洞读取任意文件。
二、漏洞影响产品
Jellyfin Jellyfin >=10.8.0,<10.8.10
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/jellyfin/jellyfin/security/advisories/GHSA-9p5f-5x8v-x65m/
