CVE-2026-43985 in Tautulliالمعلومات

الملخص

بحسب VulDB • 04/06/2026

Tautulli هو أداة مراقبة وتتبع مبنية على Python لخادم Plex Media Server. تُعرّض الإصدارات السابقة للإصدار 2.17.1 نقطة النهاية `configUpdate` الخاصة بالمسؤولين، والتي تُغيّر الحالة، للخطر، لكن المسار (route) لا يفرض استخدام طريقة `POST` ولا يستخدم أي رمز مضاد لـ CSRF. في وضع المصادقة الافتراضي القائم على النماذج (forms) وJWT، تُصدر ملف تعريف الارتباط (cookie) لجلسة المسؤول بخاصية `SameSite=Lax`، مما لا يزال يسمح بطلبات التنقل عبر المواقع من المستوى الأعلى (top-level). يمكن للمهاجم استغلال هذا الثغرة عن طريق خداع مسؤول مسجل الدخول للانتقال إلى صفحة خبيثة تقوم بإرسال طلب عبر المواقع إلى `/configUpdate`، مما يؤدي إلى استبدال اسم المستخدم وكلمة المرور المحليين للمسؤول. يمكن للمهاجم بعد ذلك تسجيل الدخول مباشرة باستخدام بيانات الاعتماد المختارة والاستيلاء على واجهة إدارة Tautulli. يقوم الإصدار 2.17.1 بإصلاح هذه المشكلة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

04/05/2026

إفشاء

04/06/2026

الاعتدال

تمت الموافقة

إدخال

VDB-368375

CPE

جاهز

CWE

CWE-352 (مؤكد)

CVSS

8.8 (CNA)

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43985
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43985
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43985/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!