Seerr is an open-source media request and discovery manager for Jellyfin, Plex, and Emby. Starting in version 2.0.0 and prior to version 3.1.0, an authentication guard logic flaw in `POST /api/v1/auth/jellyfin` allows an unauthenticated attacker to register a new Seerr account on any Plex-configured instance by authenticating with an attacker-controlled Jellyfin server. The attacker receives an authenticated session and can immediately use the application with default permissions, including the ability to submit media requests to Radarr/Sonarr. Any Seerr deployment where all three of the following are true may be vulnerable: `settings.main.mediaServerType` is set to `PLEX` (the most common deployment).; `settings.jellyfin.ip` is set to `""` (default, meaning Jellyfin was never configured); and `settings.main.newPlexLogin` is set to `true` (default). Jellyfin-configured and Emby-configured deployments are not affected. Version 3.1.0 of Seerr fixes this issue.
Seerr versions 2.0.0 to 3.0.x contain an authentication bypass vulnerability in the Jellyfin authentication endpoint that allows unauthenticated attackers to register accounts on Plex-configured instances. Attackers can gain authenticated access with default permissions and submit unauthorized media requests to connected services.
تحتوي نسخ Seerr من 2.0.0 إلى 3.0.x على خلل في منطق حماية المصادقة في نقطة نهاية POST /api/v1/auth/jellyfin. يسمح هذا الخلل للمهاجمين بتجاوز المصادقة والتسجيل بحسابات جديدة على الخوادم المكونة مع Plex. يمكن للمهاجمين الوصول الفوري إلى التطبيق بأذونات افتراضية وتقديم طلبات وسائط إلى خدمات Radarr و Sonarr المتصلة.
ثغرة تجاوز المصادقة في Seerr تسمح للمهاجمين غير المصرح لهم بتسجيل حسابات جديدة على خوادم Plex المكونة. يمكن للمهاجمين الحصول على جلسة مصادقة واستخدام التطبيق بأذونات افتراضية وتقديم طلبات وسائط غير مصرح بها.
Upgrade Seerr to version 3.1.0 or later immediately. If immediate upgrade is not possible, disable the Plex login functionality by setting settings.main.newPlexLogin to false or configure a valid Jellyfin server IP in settings.jellyfin.ip. Implement network-level access controls to restrict API endpoint access to trusted networks only.
قم بترقية Seerr إلى الإصدار 3.1.0 أو أحدث فوراً. إذا لم يكن الترقية ممكنة، قم بتعطيل وظيفة تسجيل الدخول عبر Plex أو قم بتكوين عنوان IP صحيح لخادم Jellyfin. طبق عناصر تحكم على مستوى الشبكة لتقييد الوصول إلى نقاط النهاية.