HIGHCVE-2025-24960CVSS 8.7

बैकअप एंडपॉइंट में फ़ाइलनाम के लिए गुम इनपुट सत्यापन जेलीस्टैट में

Q: CVE-2025-24960 — पथ पारगमन Jellystat में क्या है?

CVE-2025-24960 Jellystat में एक पथ पारगमन भेद्यता है जो हमलावरों को किसी भी फ़ाइल को हटाने की अनुमति देती है।

Q: क्या मैं CVE-2025-24960 में Jellystat से प्रभावित हूं?

यदि आप Jellystat के संस्करण 1.1.3 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

Q: मैं CVE-2025-24960 में Jellystat को कैसे ठीक करूं?

Jellystat को संस्करण 1.1.3 या बाद के संस्करण में अपग्रेड करें।

Q: मैं CVE-2025-24960 के लिए आधिकारिक Jellystat सलाहकार कहां पा सकता हूं?

आधिकारिक सलाहकार Jellystat वेबसाइट पर उपलब्ध होना चाहिए।

प्लेटफ़ॉर्म

other

घटक

jellystat

में ठीक किया गया

1.1.4

AI Confidence: highNVDEPSS 0.2%समीक्षित: मई 2026

NVD पर देखें

सहेजें

Jellystat एक मुफ्त और ओपन-सोर्स सांख्यिकी ऐप है जो Jellyfin के लिए है। प्रभावित संस्करणों में, Jellystat सीधे रूट(s) में उपयोगकर्ता इनपुट का उपयोग करता है, जिससे पथ पारगमन भेद्यता हो सकती है। यह भेद्यता केवल व्यवस्थापकों के लिए है, लेकिन DELETE files/:filename फ़ंक्शन का उपयोग करके कोई भी फ़ाइल हटाई जा सकती है। संस्करण 1.1.3 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह पथ पारगमन भेद्यता Jellystat के व्यवस्थापकों के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है। एक हमलावर DELETE files/:filename एंडपॉइंट का उपयोग करके Jellystat इंस्टॉलेशन पर किसी भी फ़ाइल को हटा सकता है। यह डेटा हानि, सिस्टम अस्थिरता और संभावित रूप से Jellyfin मीडिया सर्वर के कामकाज में व्यवधान का कारण बन सकता है। चूंकि यह भेद्यता केवल व्यवस्थापकों के लिए है, इसलिए इसका दायरा सीमित है, लेकिन एक सफल हमलावर को महत्वपूर्ण क्षति पहुँचाने की क्षमता है। इस भेद्यता का शोषण करने के लिए, हमलावर को पहले Jellystat व्यवस्थापक खाते तक पहुंच प्राप्त करने की आवश्यकता होगी।

शोषण संदर्भ

यह भेद्यता सार्वजनिक रूप से 2025-02-03 को प्रकाशित हुई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। यह KEV में सूचीबद्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद नहीं हैं, लेकिन भेद्यता का शोषण करने के लिए आवश्यक तकनीक अपेक्षाकृत सरल है।

कौन जोखिम में हैअनुवाद हो रहा है…

Administrators of Jellyfin instances using Jellystat versions prior to 1.1.3 are at risk. Shared hosting environments where Jellyfin and Jellystat are installed could also be vulnerable if the administrator account is compromised.

हमले की समयरेखा

2025-02-03Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.19% (41% शतमक)

CISA SSVC

शोषणpoc

स्वचालनीयno

तकनीकी प्रभावtotal

CVSS वेक्टर

प्रभावित सॉफ्टवेयर

घटकjellystat

विक्रेताCyferShepard

प्रभावित श्रेणीमें ठीक किया गया

< 1.1.3 – < 1.1.31.1.4

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

आरक्षित2025-01-29
प्रकाशित2025-02-03
संशोधित2025-02-12
EPSS अद्यतन2026-04-02

शमन और वर्कअराउंड

इस भेद्यता को कम करने का सबसे प्रभावी तरीका Jellystat को संस्करण 1.1.3 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम स्तर पर फ़ाइलों तक पहुंच को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू किया जा सकता है। इसके अतिरिक्त, Jellystat इंस्टॉलेशन को एक अलग नेटवर्क सेगमेंट में अलग करने से हमले की सतह को कम करने में मदद मिल सकती है। सुनिश्चित करें कि Jellystat व्यवस्थापक खाते मजबूत पासवर्ड का उपयोग करते हैं और नियमित रूप से बदलते हैं। अपग्रेड के बाद, यह सत्यापित करें कि फ़ाइलें अनधिकृत पहुंच से सुरक्षित हैं।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice Jellystat a la versión 1.1.3 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de Jellystat.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-24960 — पथ पारगमन Jellystat में क्या है?