Plataforma
python
Componente
tautulli
Corregido en
2.16.1
La vulnerabilidad CVE-2025-58760 es un fallo de recorrido de ruta (Path Traversal) descubierto en Tautulli, una herramienta de monitoreo y seguimiento para servidores Plex Media Server. Este fallo permite a atacantes no autenticados leer archivos arbitrarios del sistema de archivos del servidor de la aplicación. Afecta a versiones de Tautulli anteriores o iguales a la 2.16.0. La solución es actualizar a la versión 2.16.0 o implementar medidas de seguridad adicionales.
El fallo de recorrido de ruta en Tautulli permite a un atacante no autenticado acceder a archivos sensibles almacenados en el sistema de archivos del servidor donde se ejecuta Tautulli. Esto podría incluir archivos de configuración, claves API, contraseñas u otros datos confidenciales. Un atacante podría utilizar esta vulnerabilidad para obtener información sobre la configuración del servidor Plex, acceder a contenido multimedia almacenado en el servidor o incluso comprometer el servidor completo. La falta de autenticación en el endpoint /image facilita la explotación, ya que no se requiere credenciales para acceder a él. La gravedad de este fallo radica en la posibilidad de exponer información sensible y comprometer la seguridad del servidor Plex.
La vulnerabilidad CVE-2025-58760 fue publicada el 9 de septiembre de 2025. Actualmente no se dispone de información sobre explotación activa en la naturaleza. No se ha añadido a la lista KEV de CISA, y la probabilidad de explotación se considera baja a moderada, dada la necesidad de conocimiento técnico para explotar el fallo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations running Plex Media Server with Tautulli installed are at risk, particularly those with publicly accessible Tautulli instances or those using default configurations. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised Tautulli instance could potentially expose data belonging to other users.
• python / server:
# Check for Tautulli processes and versions
ps aux | grep tautulli
# Monitor access logs for suspicious requests to /image endpoint
grep '/image/' /var/log/nginx/access.log• generic web:
# Attempt to access a file outside the intended image directory
curl http://<tautulli_ip>/image/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-58760 es actualizar Tautulli a la versión 2.16.0 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar restricciones de acceso al endpoint /image. Esto se puede lograr configurando un firewall o proxy para bloquear el acceso no autorizado al endpoint. Además, se debe revisar la configuración de permisos del directorio de datos de Tautulli para asegurar que solo el usuario de Tautulli tenga acceso de lectura y escritura. Después de la actualización, confirme que el acceso no autorizado al endpoint /image está bloqueado intentando acceder a archivos fuera del directorio esperado.
Actualice Tautulli a la versión 2.16.0 o posterior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización evitará que atacantes no autenticados accedan a archivos arbitrarios en el sistema de archivos del servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58760 is a Path Traversal vulnerability affecting Tautulli versions up to 2.16.0, allowing unauthorized file access.
You are affected if you are running Tautulli version 2.16.0 or earlier. Upgrade to 2.16.0 to mitigate the risk.
Upgrade Tautulli to version 2.16.0 or later. Consider WAF rules as a temporary workaround.
There is currently no indication of active exploitation, but the vulnerability is relatively easy to exploit.
Refer to the Tautulli project's official website and GitHub repository for updates and advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.