CVE-2026-41167

Name of the Vulnerable Software and Affected Versions Jellystat versões anteriores a 1.1.10

Description Múltiplos endpoints de API constroem consultas SQL interpolando campos do corpo da requisição não sanitizados diretamente em strings SQL brutas. Um usuário autenticado pode injetar SQL arbitrário através dos endpoints 'POST /api/getUserDetails' e 'POST /api/getLibrary', permitindo a leitura completa de qualquer tabela do banco de dados, incluindo app config, que armazena credenciais de administrador, a chave de API do Jellyfin e a URL do host do Jellyfin. Como a aplicação utiliza o protocolo de consulta simples do node-postgres sem um array de parâmetros, consultas empilhadas são possíveis. Isso permite a escalação da divulgação de dados para a execução de comandos arbitrários no host PostgreSQL via COPY ... TO PROGRAM. Ao utilizar a função fornecida no arquivo docker-compose.yml, que é um superusuário do PostgreSQL, não são necessários privilégios adicionais para essa execução.

Recommendations Atualizar para a versão 1.1.10.