Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Prior to version 2.17.0, the /newsletter/image/images API endpoint is vulnerable to path traversal, allowing unauthenticated attackers to read arbitrary files from the application server's filesystem. This issue has been patched in version 2.17.0.
Tautulli versions prior to 2.17.0 contain a path traversal vulnerability in the /newsletter/image/images API endpoint that allows unauthenticated attackers to read arbitrary files from the server filesystem. The vulnerability affects organizations using Plex Media Server monitoring and requires immediate patching to version 2.17.0 or later.
تحتوي ثغرة CVE-2026-31831 على نقطة ضعف في اجتياز المسار في واجهة برمجة تطبيقات Tautulli التي تسمح بالوصول غير المصرح به إلى الملفات الحساسة على الخادم. يمكن للمهاجمين استغلال هذه الثغرة للوصول إلى بيانات حساسة مثل ملفات الإعدادات وملفات قاعدة البيانات وبيانات اعتماد المستخدم. يعتبر هذا التهديد حرجًا للمنظمات التي تعتمد على Tautulli لمراقبة خوادم Plex الخاصة بها.
إصدارات Tautulli السابقة للإصدار 2.17.0 تحتوي على ثغرة اجتياز المسار في نقطة نهاية API /newsletter/image/images التي تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية من نظام الملفات الخاص بالخادم. تؤثر الثغرة على المنظمات التي تستخدم مراقبة Plex Media Server وتتطلب تصحيحًا فوريًا للإصدار 2.17.0 أو أحدث.
Upgrade Tautulli to version 2.17.0 or later immediately. Implement network-level access controls to restrict access to the /newsletter/image/images endpoint. Monitor server logs for suspicious file access patterns. Consider implementing Web Application Firewall (WAF) rules to block path traversal attempts using patterns like ../ and encoded variants.
قم بترقية Tautulli إلى الإصدار 2.17.0 أو أحدث على الفور. قم بتنفيذ عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة نهاية /newsletter/image/images. راقب سجلات الخادم للأنماط المريبة للوصول إلى الملفات. فكر في تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحظر محاولات اجتياز المسار باستخدام أنماط مثل ../.