CVE-2026-43986 in Tautulliinfo

Zusammenfassung

von VulDB • 04.06.2026

Tautulli ist ein auf Python basierendes Überwachungs- und Tracking-Tool für den Plex Media Server. Versionen vor 2.17.1 exponieren eine öffentliche `/image/`-Route, die angreiferkontrollierte Einträge aus `image_hash_lookup` auflöst und diese über dieselbe serverseitige Bildabruflogik wiedergibt, die auch für das authentifizierte Image-Proxying verwendet wird. Ein Gastbenutzer mit geringen Berechtigungen kann eine bösartige externe Bild-URL in diese Lookup-Tabelle einspeisen und anschließend serverseitige Abrufe über einen vollständig nicht-authentifizierten Endpunkt auslösen. Dies verwandelt eine authentifizierte SSRF-Primitivfunktion in ein persistierendes, nicht-authentifiziertes SSRF-Gadget. Sobald sich der bösartige Hash-Eintrag in der Tabelle befindet, kann jeder externe Benutzer `/image/.png` anfordern und bewirken, dass der PMS- oder Tautulli-Host eine beliebige, vom Angreifer gewählte URL abruft. Version 2.17.1 behebt das Problem.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.05.2026

Veröffentlichung

04.06.2026

Moderieren

akzeptiert

Eintrag

VDB-368369

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

medium

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43986
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43986
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43986/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!