CVE-2026-43986 in Tautulliinformação

Sumário

de VulDB • 04/06/2026

O Tautulli é uma ferramenta de monitoramento e rastreamento baseada em Python para o Plex Media Server. Versões anteriores à 2.17.1 expõem uma rota pública `/image/` que resolve entradas controladas pelo atacante a partir de `image_hash_lookup` e as reencaminha através da mesma lógica de busca de imagens no lado do servidor usada pelo proxy de imagens autenticado. Um usuário convidado com baixos privilégios pode inserir uma URL de imagem externa maliciosa nesta tabela de busca e, em seguida, acionar buscas no lado do servidor por meio de um endpoint totalmente não autenticado. Isso transforma um primitivo SSRF autenticado em um gadget SSRF persistente e não autenticado. Uma vez que a entrada de hash maliciosa exista, qualquer usuário externo pode solicitar `/image/.png` e fazer com que o host do PMS ou do Tautulli busque uma URL arbitrária escolhida pelo atacante. A versão 2.17.1 corrige a vulnerabilidade.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

04/05/2026

Divulgação

04/06/2026

Moderação

aceite

Entrada

VDB-368369

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

médio

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43986
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43986
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43986/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!