Katalog CVE

CVE-2026-41065

WysokieCVSS 8.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 - wyżej niż 34% wszystkich znanych CVE

Streszczenie

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które w wersjach przed 2.17.1 jest podatne na zdalne wykonanie kodu poprzez funkcję niestandardowego katalogu szablonów newslettera. Atakujący może wykorzystać tę podatność do uruchomienia złośliwego szablonu Mako bez potrzeby posiadania jakichkolwiek poświadczeń.

Ocena ryzyka

Organizacja narażona jest na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W przypadku zakończonej instalacji, każdy administrator może wykorzystać tę podatność, co zwiększa ryzyko.

Rekomendacja

Zaleca się aktualizację Tautulli do wersji 2.17.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy zabezpieczyć dostęp do wszystkich punktów zarządzania, aby ograniczyć ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Versions prior to 2.17.1 are vulnerable to remote code execution via the newsletter custom template directory feature. On a fresh install before the setup wizard is completed, all management endpoints are completely unauthenticated. An attacker can create a newsletter agent, point the custom template directory to an attacker-controlled SMB share serving a malicious Mako template, and trigger execution via the newsletter render endpoint, all with zero credentials and no local access to the target system. On a completed install with credentials configured, the same chain is exploitable by any admin. Version 2.17.1 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS