CVE-2021-29490 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Jellyfin 存在 **SSRF（服务端请求伪造）** 漏洞。 🔥 **后果**：攻击者可利用该漏洞，让服务器代替你访问内部或外部资源，导致 **敏感信息泄露** 或 **内网探测**。

🔍 **CWE**：CWE-918（Server-Side Request Forgery）。 🐛 **缺陷点**：`RemoteImageController` 中的 `imageUrl` 参数未做严格校验，直接发起 HTTP GET 请求。

📦 **厂商**：Jellyfin。 📉 **版本**：**10.7.3 之前** 的所有版本（含 10.7.2 及以下）。

💻 **权限**：无需认证（Unauthenticated）。 📂 **数据**：可读取 **内部 HTTP 服务** 响应，或访问 **外部资源**，可能暴露服务器内部架构或敏感文件。

🚪 **门槛**：**极低**。 ✅ **条件**：**无需登录**，无需特殊配置，直接通过 URL 参数即可触发。

💣 **Exp/PoC**：**有**。 🔗 社区已提供 Nuclei 模板及详细 PoC 代码，利用简单，**在野利用风险高**。

🔎 **自查**：扫描 Jellyfin 服务，构造包含内网 IP（如 127.0.0.1）或云元数据地址的 `imageUrl` 参数，观察响应是否包含目标内容。

🛡️ **补丁**：**已修复**。 📢 官方发布安全公告，建议立即升级至 **10.7.3 或更高版本**。

⚠️ **临时规避**：若无法升级，需在 **WAF/防火墙** 层面拦截对 `RemoteImageController` 的异常请求，或限制服务器出站访问内网地址。

🔥 **优先级**：**高**。 ⚡ 无需认证即可利用，且涉及 SSRF 核心风险，建议 **立即修复** 或升级。