CVE-2026-41065
WysokieCVSS 8.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 - wyżej niż 34% wszystkich znanych CVE
Streszczenie
Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które w wersjach przed 2.17.1 jest podatne na zdalne wykonanie kodu poprzez funkcję niestandardowego katalogu szablonów newslettera. Atakujący może wykorzystać tę podatność do uruchomienia złośliwego szablonu Mako bez potrzeby posiadania jakichkolwiek poświadczeń.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W przypadku zakończonej instalacji, każdy administrator może wykorzystać tę podatność, co zwiększa ryzyko.
Rekomendacja
Zaleca się aktualizację Tautulli do wersji 2.17.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy zabezpieczyć dostęp do wszystkich punktów zarządzania, aby ograniczyć ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Versions prior to 2.17.1 are vulnerable to remote code execution via the newsletter custom template directory feature. On a fresh install before the setup wizard is completed, all management endpoints are completely unauthenticated. An attacker can create a newsletter agent, point the custom template directory to an attacker-controlled SMB share serving a malicious Mako template, and trigger execution via the newsletter render endpoint, all with zero credentials and no local access to the target system. On a completed install with credentials configured, the same chain is exploitable by any admin. Version 2.17.1 fixes the issue.

