CVE-2026-41167 in Jellystat
要約
〜によって VulDB • 2026年05月27日
JellystatはJellyfin用の無料かつオープンソースの統計アプリです。バージョン1.1.10より前では、Jellystatの複数のAPIエンドポイントが、サニタイズされていないリクエストボディフィールドを生のSQL文字列に直接補間することでSQLクエリを構築していました。認証済みユーザーは`POST /api/getUserDetails`および`POST /api/getLibrary`を通じて任意のSQLをインジェクトでき、データベース内の任意のテーブル(`app_config`を含む)の完全な読み取りを可能にします。`app_config`にはJellystatの管理者資格情報、Jellyfin APIキー、およびJellyfinホストURLが格納されています。脆弱な呼び出し元は`node-postgres`の単純クエリプロトコル(パラメータ配列は渡されない)を介してディスパッチするため、スタッククエリが許可され、インジェクトによるデータ漏洩から、PostgreSQLホスト上での`COPY ... TO PROGRAM`を介した任意のコマンド実行へとエスカレートします。プロジェクトの`docker-compose.yml`で提供されるロール(PostgreSQLスーパーユーザー)では、RCEプリミティブに到達するために追加の権限は必要ありません。バージョン1.1.10には修正が含まれています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.