Plataforma
other
Componente
jellystat
Corrigido em
1.1.4
A vulnerabilidade CVE-2025-24960 afeta o Jellystat, um aplicativo de estatísticas de código aberto para Jellyfin. A falha ocorre devido ao uso direto de entrada do usuário em rotas, permitindo ataques de Path Traversal. Embora o acesso seja restrito a administradores, um atacante pode explorar a funcionalidade DELETE files/:filename para excluir qualquer arquivo no sistema. A correção está disponível na versão 1.1.3.
Um atacante com acesso de administrador ao Jellystat pode explorar essa vulnerabilidade de Path Traversal para excluir arquivos críticos do sistema. Isso pode levar à interrupção do serviço, perda de dados ou até mesmo à comprometimento da integridade do sistema Jellyfin. A capacidade de deletar arquivos arbitrários representa um risco significativo, especialmente em ambientes onde o Jellystat armazena dados sensíveis ou configurações importantes. A falta de workarounds disponíveis agrava o impacto, tornando a atualização para a versão corrigida a única solução viável.
A vulnerabilidade foi divulgada em 03 de fevereiro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um ataque de Path Traversal com acesso restrito a administradores sugere um risco menor em comparação com vulnerabilidades mais amplamente exploráveis, mas ainda requer atenção imediata.
Administrators of Jellyfin instances using Jellystat versions prior to 1.1.3 are at risk. Shared hosting environments where Jellyfin and Jellystat are installed could also be vulnerable if the administrator account is compromised.
disclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-24960 é a atualização imediata para a versão 1.1.3 do Jellystat. Devido à natureza crítica da vulnerabilidade e à ausência de workarounds, a atualização é essencial para proteger o sistema. Não há workarounds conhecidos para esta vulnerabilidade além da atualização. Após a atualização, verifique se o Jellystat está funcionando corretamente e se os arquivos críticos foram preservados. Monitore os logs do sistema em busca de atividades suspeitas.
Actualice Jellystat a la versión 1.1.3 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de Jellystat.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-24960 is a Path Traversal vulnerability in Jellystat versions up to 1.1.3, allowing attackers to delete files via the DELETE files/:filename route.
You are affected if you are using Jellystat version 1.1.3 or earlier. Upgrade to 1.1.3 to resolve the vulnerability.
Upgrade Jellystat to version 1.1.3 or later. There are no known workarounds for this vulnerability.
There are currently no known active exploits targeting CVE-2025-24960, but the vulnerability remains a risk.
Refer to the Jellyfin security advisories page for the latest information: [https://jellyfin.org/security/](https://jellyfin.org/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.