CVE-2025-58762

Nome do Software Vulnerável e Versões Afetadas: Versões do Tautulli anteriores a 2.16.0

Descrição: O Tautulli é uma ferramenta de monitoramento e rastreamento baseada em Python para o Plex Media Server. Um atacante com acesso administrativo pode explorar o endpoint pms image proxy para gravar scripts Python arbitrários no sistema de arquivos da aplicação. Isso pode ser alcançado manipulando o parâmetro img e o parâmetro img format dentro de uma requisição pms image proxy, aproveitando vulnerabilidades de path traversal para especificar um nome de arquivo desejado. O atacante controla o Plex Media Server (PMS) e pode fornecer conteúdo arbitrário, que é então gravado no arquivo especificado. Posteriormente, o atacante pode utilizar o agente de notificação Script para executar o script gravado, resultando em execução remota de código no servidor da aplicação.

Recomendações: Atualize para a versão 2.16.0.