Plataforma
other
Componente
jellystat
Corregido en
1.1.4
Se ha identificado una vulnerabilidad de Path Traversal en Jellystat, una aplicación de estadísticas de código abierto para Jellyfin. Las versiones afectadas (≤ 1.1.3) utilizan directamente la entrada del usuario en las rutas, lo que permite a un atacante con privilegios de administrador eliminar cualquier archivo. Se recomienda encarecidamente actualizar a la versión 1.1.3 para solucionar este problema.
Esta vulnerabilidad de Path Traversal permite a un atacante con acceso de administrador eliminar archivos arbitrarios en el sistema Jellyfin. Dado que la funcionalidad vulnerable solo está disponible para administradores, el alcance de la explotación es limitado. Sin embargo, la capacidad de eliminar archivos puede comprometer la integridad de los datos, interrumpir el funcionamiento del servidor y potencialmente permitir la ejecución de código malicioso si se eliminan archivos críticos del sistema. La eliminación de archivos de configuración o bases de datos podría causar una denegación de servicio o incluso permitir la escalada de privilegios.
Esta vulnerabilidad fue publicada el 3 de febrero de 2025. No se ha reportado explotación activa en campañas conocidas. La vulnerabilidad se considera de alta probabilidad de explotación debido a la facilidad de acceso para administradores y la disponibilidad de la funcionalidad de eliminación de archivos. No se ha añadido a KEV al momento de la redacción.
Administrators of Jellyfin instances using Jellystat versions prior to 1.1.3 are at risk. Shared hosting environments where Jellyfin and Jellystat are installed could also be vulnerable if the administrator account is compromised.
disclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Jellystat a la versión 1.1.3 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la funcionalidad de administración de Jellystat. Implementar controles de acceso estrictos y monitorear la actividad del administrador puede ayudar a detectar y prevenir intentos de explotación. No existen soluciones alternativas conocidas más allá de la actualización o la restricción de acceso.
Actualice Jellystat a la versión 1.1.3 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de Jellystat.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24960 is a Path Traversal vulnerability in Jellystat versions up to 1.1.3, allowing attackers to delete files via the DELETE files/:filename route.
You are affected if you are using Jellystat version 1.1.3 or earlier. Upgrade to 1.1.3 to resolve the vulnerability.
Upgrade Jellystat to version 1.1.3 or later. There are no known workarounds for this vulnerability.
There are currently no known active exploits targeting CVE-2025-24960, but the vulnerability remains a risk.
Refer to the Jellyfin security advisories page for the latest information: [https://jellyfin.org/security/](https://jellyfin.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.