CVE-2026-43984 in Tautulli
요약
\~에 의해 VulDB • 2026. 06. 04.
Tautulli는 Plex Media Server를 위한 Python 기반 모니터링 및 추적 도구입니다. 2.17.1 이전 버전에서는 `log_js_errors` 엔드포인트가 게스트 액세스가 활성화된 경우 게스트 사용자를 포함한 모든 인증된 사용자에게 노출됩니다. 이 엔드포인트는 공격자가 제어하는 문자열을 메인 애플리케이션 로그에 직접 기록합니다. 관리자 전용 `logFile` 뷰는 해당 로그 파일을 읽어서 이스케이프 처리 없이 HTML 응답에 임베딩합니다. 이로 인해 권한이 낮은 게스트 사용자가 로그 파일에 HTML 또는 JavaScript를 삽입하고, 로그 뷰어가 열릴 때 관리자의 브라우저에서 해당 코드가 실행되는 저장형 크로스 사이트 스크립팅(XSS) 취약점이 발생합니다. 버전 2.17.1에서 해당 문제가 패치되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.