目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CVE-2021-21402— Jellyfin 路径遍历漏洞

CVSS 7.7 · High EPSS 90.47% · P100
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2021-21402 基础信息

漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Unauthenticated Arbitrary File Access in Jellyfin
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Jellyfin is a Free Software Media System. In Jellyfin before version 10.7.1, with certain endpoints, well crafted requests will allow arbitrary file read from a Jellyfin server's file system. This issue is more prevalent when Windows is used as the host OS. Servers that are exposed to the public Internet are potentially at risk. This is fixed in version 10.7.1. As a workaround, users may be able to restrict some access by enforcing strict security permissions on their filesystem, however, it is recommended to update as soon as possible.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
对路径名的限制不恰当(路径遍历)
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Jellyfin 路径遍历漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Jellyfin是一个免费软件媒体系统。可让您控制媒体的管理和流式传输。它是专有Emby和Plex的替代产品,可以通过多个应用程序将专用服务器中的媒体提供给最终用户设备。 Jellyfin before version 10.7.1存在安全漏洞,该漏洞源于精心制作的请求将允许从Jellyfin服务器的文件系统读取任意文件。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

神龙十问 — AI 深度分析

十问解析:根本原因、利用方式、修复建议、紧迫性。摘要免费,完整版需登录。

查看摘要 完整分析(登录)

受影响产品

厂商产品影响版本CPE订阅
jellyfinjellyfin < 10.7.1 -

二、漏洞 CVE-2021-21402 的公开POC

#POC 描述源链接神龙链接
1CVE-2021-21402-Jellyfin-任意文件读取https://github.com/jiaocoll/CVE-2021-21402-JellyfinPOC详情
2本项目涉及到的仅为安全研究和授权情况下使用,其使用人员有责任和义务遵守当地法律条规。https://github.com/somatrasss/CVE-2021-21402POC详情
3CVE-2021-21402 Jellyfin任意文件读取 Wker脚本,可批量。https://github.com/givemefivw/CVE-2021-21402POC详情
4Jellyfin before 10.7.0 is vulnerable to local file inclusion. This issue is more prevalent when Windows is used as the host OS. Servers exposed to public Internet are potentially at risk. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-21402.yamlPOC详情
5Nonehttps://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Jellyfin%20%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%20CVE-2021-21402.mdPOC详情
AI 生成 POC已实测靶场 高级
Qwen3.6-35B-A3B · 4659 chars
付费版包含:
漏洞原理深度分析
触发条件与影响面
完整可执行 POC 代码
利用链与缓解建议
POC 打包下载
每月 100+ 条 AI 生成额度

三、漏洞 CVE-2021-21402 的情报信息

Please 登录 to view more intelligence information

IV. Related Vulnerabilities

Same product: jellyfin
Same vendor: jellyfin
Same weakness: CWE-22

V. Comments for CVE-2021-21402

暂无评论

发表评论