CVE-2026-41167 in Jellystatinformación

Resumen

por VulDB • 2026-05-27

Jellystat es una aplicación de estadísticas gratuita y de código abierto para Jellyfin. Antes de la versión 1.1.10, varios puntos de conexión de la API en Jellystat construían consultas SQL interpolando campos del cuerpo de la solicitud sin sanitizar directamente en cadenas SQL en bruto. Un usuario autenticado puede inyectar SQL arbitrario a través de `POST /api/getUserDetails` y `POST /api/getLibrary`, lo que permite la lectura completa de cualquier tabla en la base de datos, incluida `app_config`, que almacena las credenciales de administrador de Jellystat, la clave de API de Jellyfin y la URL del host de Jellyfin. Dado que el punto de llamada vulnerable se envía a través del protocolo de consulta simple de `node-postgres` (no se pasa una matriz de parámetros), se permiten consultas apiladas, lo que escala la inyección desde la divulgación de datos hasta la ejecución de comandos arbitrarios en el host de PostgreSQL mediante `COPY ... TO PROGRAM`. Bajo el rol proporcionado por el `docker-compose.yml` del proyecto (un superusuario de PostgreSQL), no se requieren privilegios adicionales para alcanzar la primitiva de RCE. La versión 1.1.10 contiene una corrección.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-17

Divulgación

2026-04-23

Moderación

aceptado

Artículo

VDB-359081

CPE

listo

EPSS

0.00111

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41167
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41167
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41167/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!