Jellystat is a free and open source Statistics App for Jellyfin. In affected versions Jellystat is directly using a user input in the route(s). This can lead to Path Traversal Vulnerabilities. Since this functionality is only for admin(s), there is very little scope for abuse. However, the `DELETE` `files/:filename` can be used to delete any file. This issue has been addressed in version 1.1.3. Users are advised to upgrade. There are no known workarounds for this vulnerability.
1. Mô tả CVE : CVE-2025-24960
– Jellystat là một ứng dụng thống kê miễn phí và mã nguồn mở dành cho Jellyfin. Trong các phiên bản bị ảnh hưởng, Jellystat sử dụng trực tiếp dữ liệu đầu vào của người dùng trong các tuyến đường (route). Điều này có thể dẫn đến các lỗ hổng vượt qua đường dẫn (Path Traversal Vulnerabilities). Vì chức năng này chỉ dành cho quản trị viên, nên có rất ít khả năng bị lạm dụng. Tuy nhiên, chức năng `DELETE` `files/:filename` có thể được sử dụng để xóa bất kỳ tệp nào. Vấn đề này đã được khắc phục trong phiên bản 1.1.3. Người dùng được khuyên nên nâng cấp. Không có biện pháp nào được biết đến để xử lý lỗ hổng này.
– Vendor – Product – Version bị ảnh hưởng : Jellystat – Tất cả các phiên bản trước 1.1.3
2. Phân tích kỹ thuật tấn công :
– Dựa trên CVE và MITRE ATT&CK, có thể khai thác lỗ hổng này thông qua việc gửi các yêu cầu HTTP giả mạo đến tuyến đường `DELETE files/:filename` với tên tệp có chứa ký tự đặc biệt để vượt qua kiểm tra đường dẫn, từ đó xóa các tệp không mong muốn trên hệ thống.
Các kỹ thuật MITRE ATT&CK liên quan :
1. T1588.006 – Vulnerabilities: Lợi dụng các lỗ hổng để thực hiện tấn công.
2. T1153 – Source: Nguồn thông tin để phát hiện và khai thác lỗ hổng.
3. T1053.002 – At: Sử dụng các kỹ thuật lập lịch để thực hiện các lệnh độc hại.
3. Tác động tiềm tàng :
– Nếu CVE bị khai thác thành công, kẻ tấn công có thể:
– Xóa các tệp quan trọng trên hệ thống, dẫn đến mất dữ liệu.
– Gây ra gián đoạn dịch vụ, ảnh hưởng đến hoạt động của các ứng dụng phụ thuộc vào dữ liệu bị xóa.
– Tạo điều kiện cho việc leo thang đặc quyền nếu có tệp cấu hình hoặc dữ liệu nhạy cảm bị xóa hoặc thay đổi.
4. Các biện pháp giảm thiểu :
– Cập nhật phần mềm lên phiên bản 1.1.3 hoặc mới hơn để vá lỗ hổng.
– Tăng cường cấu hình bảo mật:
• Kích hoạt xác thực đa yếu tố cho quản trị viên và người dùng nhạy cảm.
• Hạn chế quyền truy cập chỉ cho những người dùng cần thiết.
– Sử dụng các công cụ bảo mật để phát hiện và ngăn chặn:
• Cài đặt phần mềm diệt virus và phần mềm chống mã độc.
• Triển khai hệ thống phát hiện xâm nhập (IDS) để giám sát hoạt động bất thường.
– Triển khai các phương pháp giám sát và báo cáo:
• Kích hoạt ghi nhật ký để theo dõi hoạt động của người dùng và hệ thống.
• Thiết lập cảnh báo để phát hiện các hành vi đáng ngờ, như yêu cầu xóa tệp không hợp lệ.