Movary में Jellyfin सर्वर URL सत्यापन के माध्यम से प्रमाणित SSRF है जो आंतरिक नेटवर्क जांच की अनुमति देता है

CVE-2026-40348 Movary को प्रभावित करता है, जो फिल्मों को ट्रैक और रेट करने के लिए एक स्व-होस्टेड वेब एप्लिकेशन है। यह भेद्यता /settings/jellyfin/server-url-verify एंडपॉइंट में मौजूद है। एक प्रमाणित उपयोगकर्ता इस एंडपॉइंट को हेरफेर कर सकता है ताकि किसी भी आंतरिक लक्ष्य के लिए सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) अनुरोधों को निष्पादित किया जा सके। एप्लिकेशन उपयोगकर्ता इनपुट से एक URL बनाता है, /system/info/public जोड़ता है, और इसे Guzzle के माध्यम से भेजता है। आंतरिक होस्ट, लूपबैक पते या निजी नेटवर्क रेंज के लिए सत्यापन की कमी के कारण, एक हमलावर सर्वर के कॉन्फ़िगरेशन और अनुमतियों के आधार पर आंतरिक सिस्टम पर संवेदनशील जानकारी तक पहुंच सकता है या कमांड निष्पादित कर सकता है। CVSS गंभीरता रेटिंग 7.7 है, जो उच्च जोखिम का संकेत देती है।

Organizations running Movary in environments with internal services accessible via HTTP/HTTPS are at risk. This includes deployments where Movary is used to manage media libraries and interact with Jellyfin or other internal media servers. Shared hosting environments where multiple users share the same Movary instance are particularly vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability.

• php: Examine Movary application logs for suspicious outbound HTTP requests to internal IP addresses or unusual domains. Use grep to search for patterns related to /settings/jellyfin/server-url-verify and internal URLs.

grep -r '/settings/jellyfin/server-url-verify' /var/log/apache2/access.log

• generic web: Monitor web server access logs for requests to the /settings/jellyfin/server-url-verify endpoint originating from authenticated users. Look for unusual User-Agent strings or request headers.

curl -I http://movary.example.com/settings/jellyfin/server-url-verify

1. 2026-04-18Disclosure

   disclosure

1. आरक्षित2026-04-10
2. प्रकाशित2026-04-18
3. संशोधित2026-04-20
4. EPSS अद्यतन2026-04-25

इस भेद्यता को ठीक करने का तरीका Movary को संस्करण 0.71.1 या बाद के संस्करण में अपडेट करना है। यह संस्करण अनधिकृत SSRF अनुरोधों को रोकने के लिए आवश्यक सुधारों को लागू करता है। पुराने संस्करणों के उपयोगकर्ताओं को जल्द से जल्द अपने Movary इंस्टॉलेशन को अपडेट करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, /system/info/public के माध्यम से संवेदनशील जानकारी का खुलासा नहीं किया गया है यह सुनिश्चित करने के लिए अपने Jellyfin कॉन्फ़िगरेशन की जांच करें। फ़ायरवॉल और नेटवर्क विभाजन को लागू करने से भी संभावित शोषण के प्रभाव को कम करने में मदद मिल सकती है। संदिग्ध गतिविधि के लिए सर्वर लॉग की नियमित रूप से निगरानी करना एक अच्छी सुरक्षा प्रथा है।