平台
other
组件
jellystat
修复版本
1.1.4
CVE-2025-24960是一个路径遍历漏洞,影响Jellyfin的统计应用程序Jellystat。由于Jellystat直接使用用户输入构建路由,攻击者可以利用此漏洞删除任意文件。此漏洞仅影响管理员,因此攻击范围相对较小,但潜在影响仍然显著。受影响的版本包括Jellystat 1.1.3及更早版本,建议用户尽快升级至1.1.3版本。
攻击者可以利用此漏洞通过DELETE files/:filename路由删除Jellystat服务器上的任意文件。虽然该功能仅供管理员使用,但如果管理员账户被攻破,攻击者可以删除关键配置文件、数据库文件或其他重要数据,导致Jellystat服务中断或数据泄露。由于该漏洞允许文件删除,因此可能导致服务不可用,甚至可能影响到Jellyfin服务器的其他组件。虽然攻击范围有限,但潜在的破坏性不容忽视。
该漏洞已公开披露,并被分配了CVE编号CVE-2025-24960。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,存在被攻击者的利用的可能性。该漏洞的EPSS评分可能为中等,表明存在一定程度的利用风险。建议密切关注安全社区的动态,以便及时了解最新的威胁情报。
Administrators of Jellyfin instances using Jellystat versions prior to 1.1.3 are at risk. Shared hosting environments where Jellyfin and Jellystat are installed could also be vulnerable if the administrator account is compromised.
disclosure
漏洞利用状态
EPSS
0.19% (41% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级Jellystat至1.1.3版本或更高版本,该版本已修复此漏洞。如果无法立即升级,建议限制Jellystat管理员的访问权限,并实施严格的访问控制策略。此外,监控Jellystat服务器上的文件系统活动,可以帮助及时发现和响应潜在的攻击。由于没有已知的临时修复方案,升级是唯一的安全措施。
Actualice Jellystat a la versión 1.1.3 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de Jellystat.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-24960描述了Jellyfin统计应用Jellystat中存在的路径遍历漏洞,攻击者可以利用此漏洞删除服务器上的任意文件。
如果您正在使用Jellystat 1.1.3或更早版本,则可能受到此漏洞的影响。请立即升级至1.1.3版本或更高版本。
升级Jellystat至1.1.3版本或更高版本是修复此漏洞的唯一方法。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,存在被攻击者的利用的可能性。
请查阅Jellyfin官方安全公告或更新日志,以获取有关CVE-2025-24960的更多信息。