Krytyczna luka SQL Injection i RCE w Jellystat do wersji 1.1.10
Krytyczna luka SQL Injection i zdalnego wykonania kodu w Jellystat do wersji 1.1.10. Zalecana szybka aktualizacja i ograniczenie dostępu do API.
- CVSS
- 9.1 CRITICAL
- EPSS
- 40.35%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Jellystat przed wersją 1.1.10 występuje krytyczna luka SQL Injection w kilku punktach końcowych API, umożliwiająca uwierzytelnionemu użytkownikowi odczyt dowolnych danych z bazy, w tym poświadczeń administratora oraz klucza API Jellyfin. Luka pozwala także na wykonanie zdalnego kodu (RCE) na hoście PostgreSQL dzięki możliwości uruchamiania poleceń systemowych.
Wpływ biznesowy
Eksploatacja tej luki może prowadzić do pełnego przejęcia bazy danych oraz wycieku wrażliwych informacji, takich jak dane administratora i klucze API. W środowiskach kontenerowych, gdzie domyślnie używany jest superużytkownik PostgreSQL, atakujący może wykonać dowolne polecenia systemowe, co stanowi poważne zagrożenie dla integralności i poufności systemu.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Jellystat do wersji 1.1.10 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji, należy ograniczyć dostęp do API tylko do zaufanych użytkowników, monitorować logi pod kątem podejrzanych zapytań SQL oraz rozważyć izolację bazy danych. Przegląd i aktualizacja konfiguracji kontenerów oraz uprawnień bazy PostgreSQL również jest wskazana.