CVE-2025-24960は、Jellyfinの統計アプリJellystatにおいて、パス・トラバーサル脆弱性が確認されています。この脆弱性は、管理者が入力したファイル名を直接使用する処理に起因し、悪用されると任意のファイルを削除される可能性があります。影響を受けるバージョンは1.1.3以前であり、バージョン1.1.3へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者はJellystatの管理権限を持つユーザーになりすますことで、任意のファイルを削除することが可能です。特に、Jellyfinの重要な設定ファイルやメディアファイルが削除されるリスクがあり、システム全体の可用性に影響を及ぼす可能性があります。攻撃者は、DELETE files/:filenameエンドポイントを悪用し、ファイルシステムを探索し、機密情報を窃取したり、システムを破壊したりする可能性があります。この脆弱性は、管理権限が必要なため、攻撃範囲は限定的ですが、悪用された場合の影響は深刻です。
この脆弱性は、2025年2月3日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用コードが公開される可能性はあります。CISA KEVカタログへの登録状況は不明です。攻撃者は、Jellyfin環境をスキャンし、脆弱なJellystatインスタンスを特定する可能性があります。
Administrators of Jellyfin instances using Jellystat versions prior to 1.1.3 are at risk. Shared hosting environments where Jellyfin and Jellystat are installed could also be vulnerable if the administrator account is compromised.
disclosure
エクスプロイト状況
EPSS
0.19% (41% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、Jellystatをバージョン1.1.3にアップデートすることを強く推奨します。アップデートが困難な場合は、Jellystatの管理インターフェースへのアクセスを厳格に制限し、不要なファイルの削除を防止するためのアクセス制御を実装してください。また、WAF(Web Application Firewall)を導入し、DELETE files/:filenameエンドポイントへの不正なアクセスを検知・遮断するルールを設定することも有効です。Jellyfinのログを監視し、不審なファイル削除操作がないか確認することも重要です。
Actualice Jellystat a la versión 1.1.3 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de Jellystat.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-24960は、Jellyfinの統計アプリJellystatのバージョン1.1.3以前に存在するパス・トラバーサル脆弱性で、管理者が入力したファイル名を直接使用する処理に起因します。
Jellystatのバージョンが1.1.3以前の場合は、影響を受けます。速やかにバージョン1.1.3にアップデートしてください。
Jellystatをバージョン1.1.3にアップデートすることで修正できます。アップデートが困難な場合は、アクセス制限やWAFの導入を検討してください。
現時点では、積極的に悪用されているという報告はありませんが、パス・トラバーサル脆弱性であるため、悪用コードが公開される可能性があります。
Jellystatの公式アドバイザリは、JellyfinのウェブサイトまたはGitHubリポジトリで確認できます。