漏洞描述 Jellyfin是一个免费软件媒体系统。在10.7.1版之前的Jellyfin中,带有某些终结点的精心设计的请求将允许从Jellyfin服务器的文件系统中读取任意文件。当Windows用作主机OS时,此问题更为普遍。
相关漏洞推荐 POC CVE-2021-21402: Jellyfin <10.7.0 - Local File Inclusion POC CVE-2021-29490: Jellyfin 10.7.2 - Server Side Request Forgery POC CVE-2021-21402: Jellyfin prior to 10.7.0 Unauthenticated Arbitrary File Read POC jellyfin-default-login: Jellyfin Console - Default Login Jellyfin RemoteImageController.cs SSRF漏洞(CVE-2021-29490) Jellyfin SSRF漏洞(CVE-2020-26948)