PT-2021-19965 · Unknown · Emby Server
Jarlob
+1
·
Publicado
2021-09-09
·
Atualizado
2021-09-16
·
CVE-2021-32833
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Emby Server versão 4.6.4.0
Descrição
O problema diz respeito a vulnerabilidades de leitura arbitrária de arquivos no Emby Server no Windows. As rotas vulneráveis incluem “Videos/Id/hls/PlaylistId/SegmentId.SegmentContainer”, “Images/Ratings/theme/name” e “Images/MediaInfo/theme/name”. Isso pode levar ao acesso não autorizado ao sistema, especialmente quando o Emby Server está configurado para ser acessível pela Internet.
Recomendações
Para o Emby Server versão 4.6.4.0, considere restringir o acesso às rotas vulneráveis “Videos/Id/hls/PlaylistId/SegmentId.SegmentContainer”, “Images/Ratings/theme/name” e “Images/MediaInfo/theme/name” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Emby Server