CVE-2025-58761

Nome do Software Vulnerável e Versões Afetadas: Versões do Tautulli anteriores à 2.16.0

Descrição: O Tautulli é uma ferramenta de monitoramento e rastreamento baseada em Python para o Plex Media Server. O endpoint real pms image proxy é vulnerável a path traversal, permitindo que atacantes não autenticados leiam arquivos arbitrários do sistema de arquivos do servidor da aplicação. A imagem a ser buscada é especificada através do parâmetro de URL img, que pode ser contornado adicionando caracteres de path traversal para alcançar arquivos fora dos diretórios pretendidos. Um atacante pode exfiltrar arquivos no sistema de arquivos da aplicação, incluindo o banco de dados SQLite tautulli.db e o arquivo config.ini. Obter a senha de administrador ou um token JWT válido permite que um atacante não autenticado escale privilégios para obter controle administrativo sobre a aplicação.

Recomendações: Atualize o Tautulli para a versão 2.16.0 ou posterior.