CVE-2025-58763

Nome do Software Vulnerável e Versões Afetadas: Versões do Tautulli anteriores a 2.16.0

Descrição: O Tautulli é uma ferramenta de monitoramento e rastreamento baseada em Python para o Plex Media Server. Um problema de injeção de comando na função runGit dentro de versioncheck.py permite que invasores com privilégios administrativos obtenham execução remota de código no servidor da aplicação. Isso requer que a aplicação tenha sido clonada do GitHub e instalada manualmente. A vulnerabilidade ocorre porque shell=True é passado para subprocess.Popen, tornando a chamada suscetível à injeção de comando através de caracteres de shell nos argumentos. O endpoint da API checkout git branch é um ponto de gatilho concreto, armazenando nomes de remote e branch fornecidos pelo usuário nas chaves de configuração GIT REMOTE e GIT BRANCH sem sanitização, que são então passadas diretamente para runGit usando uma string de formatação. A execução de código pode ser obtida usando interpolação $() em um comando.

Recomendações: Atualize para a versão 2.16.0 ou posterior do Tautulli.