jellyfin任意文件读取漏洞CVE-2021-21402

最新推荐文章于 2024-03-08 09:38:53 发布
最新推荐文章于 2024-03-08 09:38:53 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: 漏洞分析&复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuguojiuai/article/details/116026280
版权
本文详细介绍了Jellyfin媒体服务器的任意文件读取漏洞CVE-2021-21402,包括漏洞的简介和具体复现过程。
摘要由CSDN通过智能技术生成

简介:

Jellyfin 是一个免费软件媒体系统。在 10.7.1 版之前的 Jellyfin 中,带有某些终结点的精心设计的请求将允许从 Jellyfin 服务器的文件系统中读取任意文件。当 Windows 用作主机 OS 时,此问题更加普遍。暴露于公共 Internet 的服务器可能会受到威胁。在版本 10.7.1
中已修复此问题。解决方法是,用户可以通过在文件系统上实施严格的安全权限来限制某些 访问,但是建议尽快进行更新。
 
最低0.47元/天 解锁文章
小韩韩啊
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE-2021-21402 Jellyfin任意文件读取漏洞复现
afei001
04-24 1251
目录 1.漏洞概述 2.漏洞成因 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 FOFA实战复现 5.2 CVE-2021-21402_Jellyfin_POC.py 6.漏洞修复 声明:请勿进行非授权测试,否则后果自负。 1.漏洞概述 jellyfin是一个自由的软件媒体系统,用于控制和管理媒体和流媒体。它是emby和plex的替代品,它通过多个应用程序从专用服务器向终端用户设备提供媒体。Jellyfin 属于Emby3.5.2的下一代,并移植.NET核...
Jellyfin任意文件读取漏洞CVE-2021-21402
逗比大师的博客
04-09 873
FOFA语句: title="Jellyfin" 可以通过访问 http://<url>/Audio/anything/hls/<文件路径>/stream.mp3/ 读取任意文件。 POC: http://xxx.xxx.xxx.xxx/Audio/1/hls/..%5C..%5C..%5C..%5C..%5C..%5CWindows%5Cwin.ini/strea...
[ 漏洞复现篇 ]Jellyfin 未授权任意文件读取 CVE-2021-21402
qq_51577576的博客
05-31 2748
🍬博主介绍 👨‍🎓 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有限,欢迎各位大佬指点,相互学习进步! 目录 🍬博主介绍 一、漏洞简介 二、漏洞编号(选填) 三、漏洞靶场(选填) 四、漏洞影响版本(必填) 五、FOFA Dork/Google Dork(选填) 六、漏洞...
jellyfin任意文件读取漏洞CVE-2021-21402 环境搭建
aweiweiweiei1的博客
05-12 888
jellyfin任意文件读取漏洞CVE-2021-21402 环境搭建教程 https://www.xiaoz.me/archives/14368
CVE-2021-21402漏洞复现Jellyfin任意文件读取
weixin_52834047的博客
05-10 2166
1.漏洞描述 Jellyfin是一个自由软件媒体系统,在10.7.1版之前的Jellyfin中,攻击者可以通过精心构造的请求读取Jellyfin服务器端的任意文件,当使用Windows主机作为操作系统时,此问题将变得跟加普遍,该漏洞已在10.7.1版本中修复。 2.影响版本 Jellyfin<10.7.1 3.复现步骤 1.根据关键词在fofa上搜索包含该漏洞的网站 2.访问网站用burpsuite抓包 3.构造URL请求头 jellyfin.db将从服务器下载带有密码的...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-21402-Jellyfin:jiaocollCVE-2021-21402-果冻
04-09
总结来说,CVE-2021-21402Jellyfin媒体服务器的一个严重安全漏洞,允许未经授权的任意文件读取。通过Python编写的PoC文件可以帮助研究者理解漏洞的工作机制,并且提供了一种测试和防御手段。对于Jellyfin用户来说...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041) OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux、Unix 和 Windows 等操作系统中。然而,OpenSSH 也存在一些安全漏洞,其中之一就是资源管理错误漏洞(CVE-2021-...
关于CVE-2023-27161 Jellyfin流媒体系统存在SSRF漏洞的学习
weixin_48421613的博客
03-16 945
Jellyfin 直到 v10.7.7 通过组件 /Repository 包含服务器端请求伪造 (SSRF)。
【安全漏洞】Emissary 的SSRF漏洞(CVE-2021-32639)发现过程
HBohan的博客
09-09 566
导语:通过在Emissary项目上运行标准的CodeQL查询集,我发现了之前报告的任意文件泄露(CVE-2021-32093)。 通过在Emissary项目上运行标准的CodeQL查询集,我发现了之前报告的任意文件泄露(CVE-2021-32093),但也发现了新的漏洞: 不安全的反序列化漏洞 (CVE-2021-32634); 服务器端请求伪造漏洞(CVE-2021-32639); 原始代码注入CVE (CVE-2021-32096)是由社区贡献的CodeQL查询标记的; 到目前为止,还可以通过默认的.
CVE-2021-21972 vCenter 远程命令执行漏洞分析
爱国小白帽
02-25 6863
报告编号:B6-2021-022501 报告来源:360NoahLab 报告作者:Ricter 更新日期:2021-02-25 0x01漏洞简介 vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机,使得 IT 管理员能够提高控制能力,简化入场任务,并降低 IT 环境的管理复杂性与成本。 vSphere Clien.
Git安全漏洞检查CVE-2021-21300
GitCode
03-16 2246
CVE-2021-21300 安全漏洞检查 本项目模拟一个利用CVE-2021-21300漏洞执行仓库内恶意脚本的行为,如果您的git客户端有 CVE-2021-21300 的安全漏洞,执行 git clone 本仓库时会输出以下内容 CVE-2021-21300 detected !!! Please update your git to fix the vulnerability CVE-2021-21300 影响分析 由于对 symbolic links 处理的问题,导致在不区分大小写的文件系统例
CVE-2021-21975&CVE-2021-21983 VMware vRealize SSRF、任意文件上传漏洞分析
爱国小白帽
04-13 984
报告编号:B6-2021-041303 报告来源:360CERT 报告作者:ghtwf01 更新日期:2021-04-13 0x01 漏洞概述 VMware vRealize Operations 可在由 AI 提供支持的统一平台中针对私有云、混合云和多云环境提供自动配置 IT 运维管理套件。 本次安全更新修复了一处服务端请求伪造漏洞,一处任意文件上传漏洞。未经身份验证的攻击者通过访问特定的api传入恶意数据,最终在目标服务器上触发漏洞。 0x02 漏洞分析 CVE-2021-21975 位于casa.
修复Apache Tomcat 信息泄露漏洞漏洞编号:CVE-2021-24122
热门推荐
平庸
02-24 1万+
修复Apache Tomcat 信息泄露漏洞漏洞编号:CVE-2021-24122
Windows DNS Server 远程代码执行漏洞 (CVE-2021-24078) 的详细原理分析
smellycat000的专栏
02-11 3294
聚焦源代码安全,网罗国内外最新资讯!漏洞简介Windows DNS Server 是 Windows Server 服务器上的一项重要功能组件, 负责调度和处理域内主机的所有DNS相关服...
红队专题-漏扫-Xray
最新发布
aming小老弟
03-08 1278
Xray扫描器是一款功能强大的安全评估工具,它主要使用HTTP/HTTPS代理进行被动扫描。这款工具由多名经验丰富的一线安全从业者开发,具备多种特性使其在安全扫描和漏洞检测方面表现出色。Xray扫描器支持多种扫描和检测模块,包括SQL注入检测、命令注入检测、任意重定向检测、路径遍历模块等。此外,它还具有一些内置插件,如XSS漏洞检测、XML实体注入检测等,这些插件能够进一步提升其漏洞检测能力。在使用Xray扫描器时,可以通过开启监听、设置浏览器代理等方式,使其能够自动探测访问网站的漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小韩韩啊

你的鼓励是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值