CVE-2026-41065
HighCVSS 8.9Exploitation Probability (EPSS)
Low risk34th percentile - higher than 34% of all known CVEs
Summary
Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które w wersjach przed 2.17.1 jest podatne na zdalne wykonanie kodu poprzez funkcję niestandardowego katalogu szablonów newslettera. Atakujący może wykorzystać tę podatność do uruchomienia złośliwego szablonu Mako bez potrzeby posiadania jakichkolwiek poświadczeń.
Risk Assessment
Organizacja narażona jest na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W przypadku zakończonej instalacji, każdy administrator może wykorzystać tę podatność, co zwiększa ryzyko.
Recommendation
Zaleca się aktualizację Tautulli do wersji 2.17.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy zabezpieczyć dostęp do wszystkich punktów zarządzania, aby ograniczyć ryzyko nieautoryzowanego dostępu.
Original NVD description (English source)
Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Versions prior to 2.17.1 are vulnerable to remote code execution via the newsletter custom template directory feature. On a fresh install before the setup wizard is completed, all management endpoints are completely unauthenticated. An attacker can create a newsletter agent, point the custom template directory to an attacker-controlled SMB share serving a malicious Mako template, and trigger execution via the newsletter render endpoint, all with zero credentials and no local access to the target system. On a completed install with credentials configured, the same chain is exploitable by any admin. Version 2.17.1 fixes the issue.

