漏洞概述 Tautulli JSONP回调参数未过滤导致跨域脚本注入和API密钥窃取 CVE编号: CVE-2025-32275 严重程度: High 漏洞位置: 第696行 根因: 查询参数直接拼接到 响应中,未进行任何验证或过滤 --- 影响范围 两个可利用影响: Impact A: 任意JavaScript注入(所有安装) 攻击者可通过构造恶意URL注入任意JavaScript代码: Impact B: 跨域API密钥窃取(仅未认证安装) 当未配置HTTP密码时, 命令会向任何调用者返回API密钥: Docker测试命令: --- 修复方案 使用严格的白名单正则表达式验证回调参数,仅允许合法的JavaScript标识符字符: 参考标准: RFC 4329 及常见JSONP安全实践