CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-41065

HighCVSS 8.9
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.43%

34th percentile - higher than 34% of all known CVEs

Summary

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które w wersjach przed 2.17.1 jest podatne na zdalne wykonanie kodu poprzez funkcję niestandardowego katalogu szablonów newslettera. Atakujący może wykorzystać tę podatność do uruchomienia złośliwego szablonu Mako bez potrzeby posiadania jakichkolwiek poświadczeń.

Risk Assessment

Organizacja narażona jest na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W przypadku zakończonej instalacji, każdy administrator może wykorzystać tę podatność, co zwiększa ryzyko.

Recommendation

Zaleca się aktualizację Tautulli do wersji 2.17.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy zabezpieczyć dostęp do wszystkich punktów zarządzania, aby ograniczyć ryzyko nieautoryzowanego dostępu.

Original NVD description (English source)

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Versions prior to 2.17.1 are vulnerable to remote code execution via the newsletter custom template directory feature. On a fresh install before the setup wizard is completed, all management endpoints are completely unauthenticated. An attacker can create a newsletter agent, point the custom template directory to an attacker-controlled SMB share serving a malicious Mako template, and trigger execution via the newsletter render endpoint, all with zero credentials and no local access to the target system. On a completed install with credentials configured, the same chain is exploitable by any admin. Version 2.17.1 fixes the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS