Sec Hotspot 首页  友情链接  收藏本站  技术博客  RSS
统计信息
已收录文章数量:13946 篇
已收录公众号数量:68 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
分享图片   2021.04.14 16:51:17  313
Chrome V8 RCE 0day之WeChatWeb   2021.04.17 16:40:17  166
面试官常考的 21 条 Linux 命令   2021.04.12 08:00:59  110
Windows手工入侵排查思路   2021.04.13 08:00:49  96
[工具]勒索病毒解密工具汇总   2021.04.12 10:14:58  72
近期CNVD重大漏洞汇总   2021.04.15 18:20:29  71
【漏洞通告】Jellyfin任意文件读取
本文来自公众号:SecPulse安全脉搏   2021.04.08 17:36:01


1. 通告信息



近日, 安识科技 A-Team团队 监测发现 Jellyfin 官方发布安全更新公告,修复了 Jellyfin服务器的文件系统中读取任意文件的 漏洞。当 Windows用作主机OS时,此问题更加普遍 暴露于公共 Internet的服务器可能会受到威胁。

对此,安识科技建议广大用户及时升级到安全版本 并做好资产自查以及预防工作,以免遭受黑客攻击。

2. 漏洞概述



攻击者恶意构造请求,将允许从 Jellyfin服务器的文件系统中读取任意文件

3. 漏洞危害



攻击者可以利用此漏洞读取服务器任意文件,甚至有可能接管服务器,存在极大的危害。

4. 影响版本



Jellyfin<10.7.1


5. 解决方案



1 . 升级 Jellyfin 至安全版本(10.7.1):

https://jellyfin.org/downloads/

2.用户通过在文件系统上实施严格 的安全权限来限制某些访问


6. 时间轴



- 2021年 4 8 Jellyfin 官方发布安全更新公告

- 2 02 1年 4 8 安识科技 A-Team团队根据官方公告分析

- 2 02 1年 4 8 安识科技 A-Team团队发布安全通告