Критична SQL-ін'єкція в Jellystat дозволяє виконання довільних команд на сервері PostgreSQL
Вразливість CVE-2026-41167 у Jellystat дозволяє автентифікованим користувачам виконувати довільні SQL-запити та команди на сервері PostgreSQL. Оновіть до версії 1.1.10.
- CVSS
- 9.1 CRITICAL
- EPSS
- 40.35%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У Jellystat до версії 1.1.10 виявлено критичну вразливість SQL-ін'єкції в кількох API-ендпоінтах, що дозволяє автентифікованому користувачу отримати повний доступ до бази даних та виконувати довільні команди на сервері PostgreSQL. Вразливість пов’язана з небезпечним формуванням SQL-запитів без належного очищення вхідних даних.
Бізнес-вплив
Ця вразливість може призвести до компрометації конфіденційних даних, включаючи адміністративні облікові дані Jellystat, ключі API Jellyfin та інші критичні налаштування. Оскільки експлуатація дозволяє виконувати довільні команди на сервері бази даних, це створює високий ризик повного контролю над інфраструктурою. Для організацій, що використовують Jellystat, це означає потенційні порушення безпеки та втрату довіри користувачів.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно оновити Jellystat до версії 1.1.10 або новішої, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до вразливих API-ендпоінтів, провести аудит логів на предмет підозрілої активності та переглянути права доступу до бази даних. Також рекомендується регулярно перевіряти наявність оновлень від розробників та впроваджувати багаторівневі заходи безпеки.