CVE-2025-58760

Nome do Software Vulnerável e Versões Afetadas: Versões do Tautulli anteriores à 2.16.0

Descrição: O Tautulli é uma ferramenta de monitoramento e rastreamento baseada em Python para o Plex Media Server. O endpoint da API /image é vulnerável a traversão de caminho, permitindo que atacantes não autenticados leiam arquivos arbitrários do sistema de arquivos do servidor da aplicação. Os atacantes podem exfiltrar arquivos, incluindo o banco de dados SQLite tautulli.db, que contém tokens JWT ativos, e o arquivo config.ini, que contém a senha de administrador hashada, o segredo do token JWT, bem como o token e os detalhes de conexão do Plex Media Server. A exploração bem-sucedida pode levar ao controle administrativo sobre a aplicação.

Recomendações: Atualize para a versão 2.16.0 ou posterior do Tautulli.