CVE-2021-21402 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Jellyfin 存在**路径遍历漏洞**。 💥 **后果**：攻击者可构造恶意请求，**读取服务器文件系统中的任意文件**。 📉 **影响**：导致敏感数据泄露，服务器面临被入侵风险。

🔍 **CWE ID**：**CWE-22** (路径遍历)。 🐛 **缺陷点**：未对用户输入的路径进行严格校验。 ⚠️ **核心问题**：允许通过特殊构造的 URL 访问受限目录。

📦 **产品**：**Jellyfin** (免费媒体系统)。 📅 **影响版本**：**10.7.1 之前**的所有版本。 🖥️ **高危场景**：以 **Windows** 作为宿主操作系统的服务器风险更高。

🕵️ **权限**：需**低权限**用户即可触发。 📂 **数据**：可读取**任意文件**。 🪟 **Windows 特例**：可读取如 `win.ini` 等系统配置文件，验证漏洞存在。

🔑 **认证**：需要**低权限 (PR:L)** 认证。 🌐 **攻击向量**：网络远程 (AV:N)。 ⚡ **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

🧪 **PoC 存在**：GitHub 上有多个现成 PoC。 🛠️ **工具**：包括 Python 脚本、Wker 批量脚本、Nuclei 模板。 📢 **利用情况**：公开可用，可批量扫描。

🔎 **检测特征**：访问 `/Audio/1/hls/..%5C..%5C...` 路径。 ✅ **验证方法**：检查响应中是否包含 `win.ini` 内容或 HTTP 200 状态码。 📡 **扫描**：使用 Nuclei 模板或专用 POC 脚本批量检测。

🛡️ **已修复**：官方在 **v10.7.1** 版本中修复了此漏洞。 🔗 **来源**：GitHub Releases 及安全公告确认。 ✅ **建议**：立即升级至 **10.7.1** 或更高版本。

🚧 **临时规避**：若无法升级，实施**严格文件系统权限**。 🔒 **限制访问**：限制 Jellyfin 进程对敏感目录的读取权限。 ⚠️ **注意**：此方法非根本解决，仅能限制部分访问。

⚡ **优先级**：**高**。 📈 **CVSS**：**7.5** (高危)。 🚀 **行动**：鉴于 PoC 公开且利用简单，建议**立即升级**或实施权限限制。