V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides,nvd

Tautulli

Уязвимости
16
Эксплуатируемые
0
Критический
1
Высокий
10

Топ продуктов

Топ уязвимостей

CVE-2026-43986Tautulli - это инструмент мониторинга и отслеживания на Python для Plex Media Server. Версии до 2.17.1 выявляйте публичный `/image/<hash>` маршрут, который разрешает контролируемые злоумышленником записи из `image_hash_lookup` и воспроизводит их через ту же логику изображения на стороне сервера, используемую аутентифицированным прокси-сервером. Непривилегированный приглашенный пользователь может засеять вредоносный внешний URL-адрес изображения в эту таблицу поиска, а затем запустить серверные приманки через полностью неаутентифицированную конечную точку. Это превращает аутентифицированный примитив SSRF в постоянный неаутентифицированный гаджет SSRF. Как только вредоносная хеш-вход существует, любой внешний пользователь может запросить `/image/<hash>.png` и заставить PMS или хостинг Tautulli принести произвольный URL-адрес, выбранный злоумышленником. Версия 2.17.1 исправляет проблему.
CVE-2026-43984Tautulli - это инструмент мониторинга и отслеживания на Python для Plex Media Server. Версии до 2.17.1 подвергают `log_js_errors` любого аутентифицированного пользователя, включая гостей, когда включен доступ к гостям. Конечную точку записывает контролируемые злоумышленником строки непосредственно в основной журнал приложений. Затем «просмотр только администратора» «logFile» читает этот файл журнала и встраивает его в ответ HTML, не убегая. Это создает условия для хранения сценариев между сайтами, при котором гостень с низкой привилегией может вводить HTML или JavaScript в файл журнала и выполнять его в браузере администратора при открытии просмотра журнала. Версия 2.17.1 исправляет проблему.
CVE-2026-41065Tautulli - это инструмент мониторинга и отслеживания на Python для Plex Media Server. Версии до 2.1.1 уязвимы для удаленного исполнения кода через функцию пользовательского каталога шаблонов рассылки. На свежей установке до того, как мастер настройки будет завершен, все конечные точки управления полностью не аутентифицированы. Злоба может создать агент информационного бюллетеня, указать пользовательский каталог шаблонов на контролируемый злоумышленником акцию SMB, обслуживающую вредоносный шаблон Mako, и инициировать выполнение через конечную точку рендеринга информационного бюллетеня, все с нулевыми учетными данных и без локального доступа к целевой системе. При завершенной установке с сконфигурированными учетными записями та же цепочка может быть использована любым администратором. Версия 2.17.1 исправляет проблему.
CVE-2026-43985Tautulli - это инструмент мониторинга и отслеживания на Python для Plex Media Server. Версии до 2.17.1 выставляют «конфигурацию» в качестве конечной точки администратора, меняющего государство, но маршрут не обеспечивает соблюдение «POST`» и не использует никакого токена против КСRF. В форме по умолчанию и режиме аутентификации на основе JWT файл cookie сеанса администратора выдается с `SmeSite=Lax`, который по-прежнему разрешает запросы навигации на высшем уровне. Злоумышленник может использовать это, заманив зарегистрированного администратора на вредоносную страницу, которая отправляет запрос на кросс-сайт «/configUpdate`» и перезаписывая имя пользователя и пароль локального администратора. Затем злоумышленник может войти в систему напрямую с выбранными учетными данных и взять на себя административный интерфейс Таутулли. Версия 2.17.1 исправляет проблему.
CVE-2026-31831Tautulli - это инструмент мониторинга и отслеживания на Python для Plex Media Server. До версии 2.17.0 конечную точку API /newsletter/images уязвима для обхода пути, что позволяет неаутентифицированным злоумышленникам считывать произвольные файлы из файловой системы сервера приложения. Этот вопрос был исправлен в версии 2.17.0.
CVE-2026-28505Tautulli - это инструмент мониторинга и отслеживания на Python для Plex Media Server. До версии 2.17.0 функция str_eval() в notification_handler.py реализует песочницу eval() для шаблонов текста уведомлений. Песочница пытается ограничить вызываемые имена, проверяя code.co_names скомпилированного кодового объекта. Однако co_names содержит только имена из внешнего кода объекта. При использовании лямбда-выражения он создает вложенный кодовый объект, доступ к атрибутам которого хранится в code.co_consts, NOT in code.co_names. Песочница никогда не осматривает вложенные кодовые объекты. Этот вопрос был исправлен в версии 2.17.0.
CVE-2025-58761Tautulli - это инструмент на основе Python для мониторинга и отслеживания Plex Media Server. Конечная точка `real_pms_image_proxy` в Tautulli v2.15.3 и более ранних версиях уязвима к path traversal, что позволяет неаутентифицированным злоумышленникам читать произвольные файлы с файловой системы сервера приложения. Конечная точка `real_pms_image_proxy` используется для получения изображения напрямую с поддерживающего Plex Media Server. Изображение, которое должно быть получено, указывается через параметр img URL, который может быть либо URL, либо путем к файлу [1]. Источники: - [1] https://github.com/Tautulli/Tautulli/security/advisories/GHSA-r732-m675-wj7w - [2] https://github.com/Tautulli/Tautulli/commit/ec77a70aafc555e1aad0d9981f719d1200c117f1
CVE-2025-58760Уязвимость path traversal в Tautulli версии до 2.15.3 позволяет неаутентифицированным злоумышленникам читать произвольные файлы из файловой системы сервера приложения через API-эндпоинт `/image`. Для устранения уязвимости рекомендуется обновить Tautulli до версии 2.16.0 [1][2]. Источники: - [1] https://github.com/Tautulli/Tautulli/security/advisories/GHSA-8g4r-8f3f-hghp - [2] https://github.com/Tautulli/Tautulli/commit/47566128e2e5dde98980d59b7a51b98173bc0b40
CVE-2026-32275Tautulli - это инструмент мониторинга и отслеживания на основе Python для Plex Media Server. От версии 1.3.10 до версии 2.17.0, несаниционированный параметр обратного вызова JSONP позволяет осуществлять перекрестный инъекций сценариев и кражу клавиш API. Этот вопрос был исправлен в версии 2.17.0.
CVE-2025-58763В Tautulli v2.15.3 и более ранних версиях обнаружена уязвимость command injection, позволяющая атакующим с административными привилегиями выполнить удаленное выполнение кода на сервере приложения. Эта уязвимость требует, чтобы приложение было клонировано с GitHub и установлено вручную. Проблема связана с использованием shell=True в функции runGit в файле versioncheck.py, что делает вызов subprocess.Popen уязвимым для command injection. Конкретным местом, где можно спровоцировать уязвимость, является endpoint checkout_git_branch, который сохраняет имя удаленного репозитория и ветки без санитаризации в конфигурационные ключи GIT_REMOTE и GIT_BRANCH. Впоследствии эти ключи извлекаются и передаются напрямую в runGit с использованием строки форматирования, что позволяет выполнить произвольный код с помощью интерполяции $() [1]. Источники: - [1] https://github.com/Tautulli/Tautulli/security/advisories/GHSA-jrm9-r57q-6cvf
CVE-2025-58762Tautulli - это инструмент на базе Python для мониторинга и отслеживания Plex Media Server. В Tautulli версии v2.15.3 и ранее атакующий с административным доступом может использовать конечную точку `pms_image_proxy` для записи произвольных Python-скриптов в файловую систему приложения. Это приводит к удалённому выполнению кода при совместном использовании с агентом уведомлений `Script`. Если атакующий с административным доступом изменит URL-адрес PMS на сервер, который он контролирует, он может злоупотребить `pms_image_proxy`, чтобы получить возможность записи в файловую систему приложения. Это можно сделать, выполнив запрос `pms_image_proxy` с URL-адресом в параметре `img` и желаемым именем файла в параметре `img_format`. Tautulli использует хэш необходимых метаданных вместе с `img_format` для построения пути к файлу. Поскольку атакующий контролирует `img_format`, который занимает конец пути к файлу, и `img_format` не проходит проверку, атакующий может использовать символы обхода пути, чтобы указать имя файла по своему выбору. Если указанный файл не существует, Tautulli попытается загрузить изображение из настроенного PMS. Поскольку атакующий контролирует PMS, он может вернуть произвольный контент в ответ на этот запрос, который затем будет записан в указанный файл. Атакующий может записать произвольный Python-скрипт в расположение на файловой системе приложения. Затем атакующий может использовать встроенный агент уведомлений `Script`, чтобы запустить локальный скрипт, получив удалённое выполнение кода на сервере приложения [1]. Пользователям следует обновиться до версии 2.16.0, чтобы получить исправление. Источники: - [1] https://github.com/Tautulli/Tautulli/security/advisories/GHSA-pxhr-29gv-4j8v - [2] https://github.com/Tautulli/Tautulli/commit/26e6b328112eb2cf35c164f981e0718f3a3d31a7
CVE-2019-19833В Tautulli 2.1.9 CSRF в URI /shutdown позволяет злоумышленнику завершить работу удаленного медиасервера. (Кроме того, анонимный доступ может быть получен в приложениях, в которых нет области входа пользователя).
CVE-2019-8939data/interfaces/default/history.html в Tautulli 2.1.26 имеет XSS через созданное имя пользователя Plex, которое неправильно обрабатывается при построении страницы истории.
CVE-2026-40605Tautulli - это инструмент мониторинга и отслеживания на основе Python для Plex Media Server. До версии 2.17.1 уязвимость прохода в конечной точке удаления кэша позволяет аутентифицированному доступу API для удаления каталогов за пределами сконфигурированного пути кэша. Это может привести к произвольной потере данных и сбоям в обслуживании. Версия 2.17.1 устраняет проблему.
CVE-2026-31804Tautulli - это инструмент мониторинга и отслеживания на Python для Plex Media Server. До версии 2.17.0 конечная точка /pms_image_proxy принимает параметр микрофона, поставляемый пользователем, и пересылает его на транскодировщик транскодирования Plex Media Server /photo/:/ без аутентификации и без ограничения схемы или хоста. Конечная точка намеренно исключается из всех проверок аутентификации в webstart.py, любое значение img, начинающийся с http, передается непосредственно в Plex, что приводит к тому, что процесс Plex Media Server, который обычно работает в той же сети или внутренней сети, что и Tautulli, с доступом к адресному пространству RFC-1918, выдавать исходящий запрос HTTP на любой URL-адрес, указанный злоумышленником. Эта проблема была исправлена в версии 2.17.0.
CVE-2026-31799Tautulli - это инструмент мониторинга и отслеживания на основе Python для Plex Media Server. От версии 2.14.2 до версии 2.17.0 для параметров "до" и "после" и от версии 2.1.0-beta до версии 2.17.0 для параметров "section_id" и "user_id", /api/v2?cmd=get_home_stats конечную точку проходит раздел_id, user_id, до и после параметров запроса непосредственно в SQL через Python %-string Злоумышленник, который держит ключ API админ Tautulli, может вводить произвольный SQL и эксфильтровать любое значение из базы данных Tautulli SQLite с помощью беспечного слепого вывода. Этот вопрос был исправлен в версии 2.17.0.
Открыть в каталоге с фильтром по вендору →