Vulnerabilidad en Seerr de seerr-team (CVE-2026-27793)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

27/02/2026

Última modificación:

04/03/2026

Descripción

Seerr es un gestor de solicitudes y descubrimiento de medios de código abierto para Jellyfin, Plex y Emby. Antes de la versión 3.1.0, el endpoint &#39;GET /api/v1/user/:id&#39; devuelve el objeto de configuración completo para cualquier usuario, incluyendo credenciales de Pushover, Pushbullet y Telegram, a cualquier solicitante autenticado independientemente de su nivel de privilegio. Esta vulnerabilidad puede ser explotada sola o combinada con la vulnerabilidad de creación de cuentas no autenticadas reportada, CVE-2026-27707. Cuando se combinan, las dos vulnerabilidades crean una cadena de acceso previo cero que filtra credenciales de API de terceros para todos los usuarios, incluyendo administradores. La versión 3.1.0 contiene una solución para esta vulnerabilidad y para CVE-2026-27707.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno