V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-31499
CVE
Высокий

Jellyfin - это самостоялец, размещенный на медиа-сервере с открытым исходным кодом. Версии до 10.10.7 уязвимы для аргументации инъекции в F…

CVSS
7.6
Высокий
EPSS
0.01
p44
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Jellyfin - это самостоялец, размещенный на медиа-сервере с открытым исходным кодом. Версии до 10.10.7 уязвимы для аргументации инъекции в FFmpeg. Это может быть использовано для возможного достижения удаленного выполнения кода любым, у кого есть полномочия для низкопривилегированного пользователя. Эта уязвимость ранее была зарегистрирована в CVE-2023-49096 и исправлена в версии 10.8.13, но патч можно обойти. Первоначальное исправление санирует некоторые параметры, чтобы сделать инъекции невозможным, но некоторые недезинфицированные параметры все еще могут быть использованы для инъекции аргумента. Те же неаутентичные конечные точки уязвимы: /Videos/<itemId>/stream и /Videos/<itemId>/stream.<container>, вероятно, наряду с аналогичными конечными точками в AudioController. Этот аргумент инъекции может быть использован для достижения произвольного написания файлов, что приводит к возможному удаленному выполнению кода через систему плагинов. В то время как неаутентифицированные конечные точки уязвимы, для эксплуатации требуется действительный идентификатор предмета, и любой аутентифицированный злоумышленник может легко получить действительный элемент Id, чтобы заставить эксплойт работать. Эта уязвимость исправлена в версии 10.10.7.

Теги · CWE
CWE-88
CAPEC-41
CAPEC-88
CAPEC-137
CAPEC-174
CAPEC-460
Затронутые продукты
Jellyfin < 10.10.7
Вектор CVSS
CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: L
Низкое (L)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.006 · p44
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
jellyfin-serverОтслеживается
jellyfin*Отслеживается