Platform
other
Component
jellystat
Opgelost in
1.1.4
CVE-2025-24960 beschrijft een Path Traversal kwetsbaarheid in Jellystat, een statistieken-app voor Jellyfin. Deze kwetsbaarheid maakt misbruik van direct gebruik van gebruikersinput in routes, waardoor aanvallers potentieel bestanden kunnen verwijderen. De kwetsbaarheid treft versies van Jellystat tot en met 1.1.3. Een fix is beschikbaar in versie 1.1.3.
De Path Traversal kwetsbaarheid in Jellystat stelt een geauthenticeerde aanvaller in staat om willekeurige bestanden op het systeem te verwijderen via de DELETE files/:filename route. Aangezien deze functionaliteit uitsluitend voor beheerders is bedoeld, is de scope van misbruik beperkt. Echter, het verwijderen van cruciale configuratiebestanden of applicatiebestanden kan leiden tot een Denial of Service (DoS) of zelfs compromittering van het Jellyfin-systeem. De impact is groter in omgevingen waar Jellyfin wordt gebruikt voor het streamen van gevoelige media, aangezien het verwijderen van bestanden de beschikbaarheid van deze media kan beïnvloeden.
Op dit moment zijn er geen publieke exploit-code of actieve campagnes bekend die deze kwetsbaarheid misbruiken. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) op 2025-02-03. De EPSS score is nog niet bekend, maar gezien de beperkte scope (alleen beheerders) en het ontbreken van publieke exploits, wordt de waarschijnlijkheid van exploitatie als laag tot gemiddeld ingeschat.
Administrators of Jellyfin instances using Jellystat versions prior to 1.1.3 are at risk. Shared hosting environments where Jellyfin and Jellystat are installed could also be vulnerable if the administrator account is compromised.
disclosure
Exploit Status
EPSS
0.19% (41% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-24960 is het upgraden van Jellystat naar versie 1.1.3 of hoger. Aangezien er geen bekende workarounds zijn, is een upgrade de enige effectieve manier om de kwetsbaarheid te verhelpen. Voor omgevingen waar een directe upgrade niet mogelijk is, overweeg dan tijdelijk de toegang tot de /files/:filename route te beperken via een firewall of web application firewall (WAF). Controleer de Jellyfin-server logs op verdachte activiteiten, zoals pogingen tot bestandstoegang of -verwijdering via ongebruikelijke paden. Na de upgrade, verifieer de integriteit van de bestanden door een controle uit te voeren op de aanwezigheid van de verwachte bestanden en mappen.
Actualice Jellystat a la versión 1.1.3 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de Jellystat.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-24960 is a Path Traversal vulnerability in Jellystat versions up to 1.1.3, allowing attackers to delete files via the DELETE files/:filename route.
You are affected if you are using Jellystat version 1.1.3 or earlier. Upgrade to 1.1.3 to resolve the vulnerability.
Upgrade Jellystat to version 1.1.3 or later. There are no known workarounds for this vulnerability.
There are currently no known active exploits targeting CVE-2025-24960, but the vulnerability remains a risk.
Refer to the Jellyfin security advisories page for the latest information: [https://jellyfin.org/security/](https://jellyfin.org/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.