CRITICAL🇬🇧 English

CVE-2025-58762

Tautulli: RCE przez path traversal w endpoincie pms_image_proxy

CVSS 9.1v3.1pub. 2025-09-09upd. 2025-09-18

W Tautulli v2.15.3 i wcześniejszych atakujący z dostępem administracyjnym może wykorzystać endpoint `pms_image_proxy` do zapisania dowolnego skryptu Python w systemie plików aplikacji. W połączeniu z wbudowanym agentem powiadomień `Script` prowadzi to do zdalnego wykonania kodu (RCE) na serwerze aplikacji.

Pokaż oryginał (EN)

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. In Tautulli v2.15.3 and earlier, an attacker with administrative access can use the `pms_image_proxy` endpoint to write arbitrary python scripts into the application filesystem. This leads to remote code execution when combined with the `Script` notification agent. If an attacker with administrative access changes the URL of the PMS to a server they control, they can then abuse the `pms_image_proxy` to obtain a file write into the application filesystem. This can be done by making a `pms_image_proxy` request with a URL in the `img` parameter and the desired file name in the `img_format` parameter. Tautulli then uses a hash of the desired metadata together with the `img_format` in order to construct a file path. Since the attacker controls `img_format` which occupies the end of the file path, and `img_format` is not sanitised, the attacker can then use path traversal characters to specify filename of their choosing. If the specified file does not exist, Tautaulli will then attempt to fetch the image from the configured PMS. Since the attacker controls the PMS, they can return arbitrary content in response to this request, which will then be written into the specified file. An attacker can write an arbitrary python script into a location on the application file system. The attacker can then make use of the built-in `Script` notification agent to run the local script, obtaining remote code execution on the application server. Users should upgrade to version 2.16.0 to receive a patch.

🤖 Analiza AI
Jak działa

Atakujący z uprawnieniami administratora zmienia adres URL serwera Plex Media Server (PMS) na serwer pod swoją kontrolą. Następnie wysyła żądanie do endpointu `pms_image_proxy`, przekazując docelowy URL w parametrze `img` oraz żądaną nazwę pliku w parametrze `img_format`. Tautulli konstruuje ścieżkę pliku na podstawie skrótu metadanych i wartości `img_format`, jednak parametr `img_format` nie jest sanityzowany — umożliwia to zastosowanie znaków path traversal do wskazania dowolnej lokalizacji w systemie plików. Jeśli wskazany plik nie istnieje, Tautulli pobiera zawartość z kontrolowanego przez atakującego serwera PMS i zapisuje ją pod wskazaną ścieżką, co pozwala na umieszczenie dowolnego skryptu Python. Atakujący uruchamia następnie zapisany skrypt za pomocą agenta `Script`, uzyskując RCE.

Skutki

Atakujący może wykonać dowolny kod na serwerze aplikacji z uprawnieniami procesu Tautulli, co może skutkować pełnym przejęciem systemu, kradzieżą danych oraz umożliwieniem lateral movement w sieci.

Mitygacja

Należy zaktualizować Tautulli do wersji 2.16.0, która zawiera patch eliminujący podatność. Patch dostępny jest w repozytorium GitHub projektu.

Kogo dotyczy

Tautulli w wersji 2.15.3 i wcześniejszych

Uwagi

Eksploatacja wymaga posiadania uprawnień administracyjnych w aplikacji Tautulli (PR:H), co ogranicza powierzchnię ataku, jednak nie eliminuje ryzyka — szczególnie w środowiskach z wieloma użytkownikami administracyjnymi lub po przejęciu konta administratora.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Tautulli

    APP
    Tautulli
    < 2.16.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-32275HIGH7.4ten sam produkt

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. From version 1.3.10 to before v...

CVE-2026-28505HIGH7.5ten sam produkt

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Prior to version 2.17.0, the st...

CVE-2026-31831HIGH8.7ten sam produkt

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Prior to version 2.17.0, the /n...

CVE-2025-58761HIGH8.6ten sam produkt

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. The `real_pms_image_proxy` endp...

CVE-2025-58763HIGH8.0ten sam produkt

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. A command injection vulnerabili...