漏洞详情

漏洞标识符: CVE-2025-64113
严重等级: 严重 (CVSS v4 总分: 9.3)
状态: 已撤销 (撤销日期: 2025年12月29日)
撤销原因: 该公告错误地将 MediaBrowser.Server.Core (NuGet) 列为受影响的包。实际上，CVE-2025-64113 影响的是 Emby Server 版本 4.9.1.80 及更早版本，以及 Emby Server Beta 版本 4.9.2.6 及更早版本。

影响

• 该漏洞影响所有 Emby Server 版本（包括测试版和稳定版），直至指定版本。
• 它允许攻击者获得对 Emby Server 的完全管理访问权限（针对 Emby Server 管理，而非操作系统级别）。
• 除了网络访问权限外，服务器易受攻击无需满足任何特定的前置条件。

修补程序

快速修复 将通过更新一个默认包含的 Emby Server 插件来推出快速修复。选择这种方式是因为许多用户手动更新服务器，而插件更新通常配置为自动应用。这允许在一天内将补丁部署到大量服务器。

服务器补丁 Emby Server 稳定版和测试版的修补版本现已可用。强烈建议所有 Emby Server 所有者尽快应用这些更新。

变通方案（现已过时）

注意：这些变通方案现已过时。请更新 Emby Server！

作为临时补救措施，可以在 Emby Server 配置文件夹中的 passwordreset.txt 文件上设置受限的文件系统权限。如果该文件不存在，用户可以自行创建或只需调用一次 ForgotPassword API，该操作将创建此文件。

• 在 Windows 上，用户可以为“Authenticated users”设置 DENY 权限。
• 在 Linux 上，可以通过 sudo chmod 444 passwordreset.txt 设置权限。 这将使 API 请求失败，从而完全消除该漏洞。

参考链接

• GHSA-95fv-5gfj-2r84
• https://nvd.nist.gov/vuln/detail/CVE-2025-64113

CVSS v4 基础指标

可利用性指标

• 攻击向量: 网络
• 攻击复杂性: 低
• 攻击要求: 无
• 所需权限: 无
• 用户交互: 无

脆弱系统影响指标

• 机密性: 高
• 完整性: 高
• 可用性: 高

后续系统影响指标

• 机密性: 低
• 完整性: 低
• 可用性: 低

CVSS v4 向量字符串: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

EPSS 分数

0.017% (第3百分位) - 此分数估计了该漏洞在未来30天内被利用的概率。

弱点

CWE-640: 弱密码找回机制 - 产品包含一个让用户在不了解原始密码的情况下恢复或更改密码的机制，但该机制是脆弱的。

时间线

• 发布: 2025年12月6日
• 发布至 GitHub 咨询数据库: 2025年12月8日
• 审核: 2025年12月8日
• 由国家漏洞数据库发布: 2025年12月9日
• 撤销: 2025年12月29日
• 最后更新: 2025年12月29日

来源代码仓库: EmbySupport/Emby.Security

致谢:

• 发现者: tembybot
• 分析师: softworkz