Plateforme
other
Composant
jellystat
Corrigé dans
1.1.4
Jellystat, une application de statistiques open source pour Jellyfin, présente une vulnérabilité de traversal de chemin. Cette faille permet à un attaquant d'accéder et de supprimer des fichiers arbitraires sur le serveur, en exploitant une utilisation directe d'une entrée utilisateur dans les routes. La vulnérabilité affecte les versions de Jellystat inférieures ou égales à 1.1.3 et a été corrigée dans la version 1.1.3.
L'exploitation réussie de cette vulnérabilité permet à un attaquant, ayant accès à l'interface d'administration de Jellystat, de supprimer des fichiers critiques sur le serveur. Bien que l'accès à l'interface d'administration soit restreint, une fois compromis, l'attaquant peut potentiellement supprimer des fichiers de configuration, des données utilisateur ou d'autres fichiers importants, entraînant une perturbation du service ou une perte de données. La suppression de fichiers peut également permettre à un attaquant d'exécuter du code malveillant si des fichiers exécutables sont compromis. La portée de l'attaque est limitée aux fichiers accessibles via l'API DELETE files/:filename.
Cette vulnérabilité a été rendue publique le 3 février 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'un accès à l'interface d'administration et de la relative simplicité de l'exploitation une fois l'accès obtenu. Aucun PoC public n'est connu à ce jour.
Administrators of Jellyfin instances using Jellystat versions prior to 1.1.3 are at risk. Shared hosting environments where Jellyfin and Jellystat are installed could also be vulnerable if the administrator account is compromised.
disclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
CISA SSVC
Vecteur CVSS
La mitigation principale contre cette vulnérabilité est la mise à jour vers la version 1.1.3 de Jellystat. En l'absence de possibilité de mise à jour immédiate, il n'existe pas de solution de contournement directe. Il est crucial de restreindre l'accès à l'interface d'administration de Jellystat en utilisant des mots de passe forts, l'authentification à deux facteurs et en limitant l'accès réseau uniquement aux adresses IP autorisées. Surveiller les journaux d'accès et d'erreurs pour détecter toute tentative d'exploitation de la vulnérabilité est également recommandé. Après la mise à jour, vérifiez l'intégrité des fichiers et assurez-vous que la version 1.1.3 est correctement installée.
Actualice Jellystat a la versión 1.1.3 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de Jellystat.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-24960 is a Path Traversal vulnerability in Jellystat versions up to 1.1.3, allowing attackers to delete files via the DELETE files/:filename route.
You are affected if you are using Jellystat version 1.1.3 or earlier. Upgrade to 1.1.3 to resolve the vulnerability.
Upgrade Jellystat to version 1.1.3 or later. There are no known workarounds for this vulnerability.
There are currently no known active exploits targeting CVE-2025-24960, but the vulnerability remains a risk.
Refer to the Jellyfin security advisories page for the latest information: [https://jellyfin.org/security/](https://jellyfin.org/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.