Lilyemby通知
本次事件通报和处理情况
事件原因
Emby MediaBrowser 存在非常严重越权漏洞
漏洞1
漏洞编号
ILVN-ID: ILVN-2025-0235
CVE-ID: CVE-2025-46387
公开日期 : 2025.7.20
危害级别 : 非常高
漏洞描述 : Emby MediaBrowser存在非常严重的权限安全漏洞,攻击者可利用该漏洞通过用户控制密钥绕过授权
漏洞类型: CWE-639 — Authorization Bypass Through User-Controlled Key
受影响产品: Emby MediaBrowser 版本 4.9.0.35 以下的所有版本
漏洞2
漏洞编号
暂未公布,已经向emby官方反馈
漏洞描述 : 存在API越权漏洞,攻击者可通过API拼接进行字典爆破
解决方案
已有临时阻止解决方案
已向emby官方反馈
https://t.me/lilydedy/220
lilyemby补偿方案
恢复后进行全员补偿,具体恢复后查看频道
事件复盘
1. 该漏洞早已存在,并非昨天勒索我们的老鼠人发现,老鼠人只是使用并勒索已获取存在感
2. 莉莉早在两周前已经得到热心群友报告,但因为在坡县工作忙,所以未得到重视,向各位用户道歉
3. 本次事件主要受伤是广大观看lilyemby的普通用户,老鼠人未满足一己勒索私欲,将所有Telegram emby圈用户隐私公开(emby服务端日志有通过网页下载过的痕迹,该老鼠人非常有可能将其贩卖),并将该漏洞进行使用并勒索,其司马昭之心昭然若揭
𝒍𝒊𝒍𝒚
2025-10-23
本次事件通报和处理情况
事件原因
Emby MediaBrowser 存在非常严重越权漏洞
漏洞1
漏洞编号
ILVN-ID: ILVN-2025-0235
CVE-ID: CVE-2025-46387
公开日期 : 2025.7.20
危害级别 : 非常高
漏洞描述 : Emby MediaBrowser存在非常严重的权限安全漏洞,攻击者可利用该漏洞通过用户控制密钥绕过授权
漏洞类型: CWE-639 — Authorization Bypass Through User-Controlled Key
受影响产品: Emby MediaBrowser 版本 4.9.0.35 以下的所有版本
漏洞2
漏洞编号
暂未公布,已经向emby官方反馈
漏洞描述 : 存在API越权漏洞,攻击者可通过API拼接进行字典爆破
解决方案
已有临时阻止解决方案
已向emby官方反馈
https://t.me/lilydedy/220
lilyemby补偿方案
恢复后进行全员补偿,具体恢复后查看频道
事件复盘
1. 该漏洞早已存在,并非昨天勒索我们的老鼠人发现,老鼠人只是使用并勒索已获取存在感
2. 莉莉早在两周前已经得到热心群友报告,但因为在坡县工作忙,所以未得到重视,向各位用户道歉
3. 本次事件主要受伤是广大观看lilyemby的普通用户,老鼠人未满足一己勒索私欲,将所有Telegram emby圈用户隐私公开(emby服务端日志有通过网页下载过的痕迹,该老鼠人非常有可能将其贩卖),并将该漏洞进行使用并勒索,其司马昭之心昭然若揭
𝒍𝒊𝒍𝒚
2025-10-23