## install-media-stack.sh 脚本曝出严重安全漏洞：Jellyfin 服务直接暴露于互联网
一个旨在简化媒体服务器部署的自动化脚本 `install-media-stack.sh` 被发现存在严重的安全配置缺陷，导致其安装的 Jellyfin 媒体服务器默认向整个互联网开放，构成重大安全风险。该脚本未经修改直接用于生产环境，可能使服务器门户大开，允许未经身份验证的远程访问。

测试证据显示，脚本安装的 Jellyfin 服务默认绑定到 `0.0.0.0`（所有网络接口），而非安全的 `127.0.0.1`（本地主机）。通过 `ss` 命令可以观察到服务在端口 42311 上监听所有地址。更直接的验证是，从外部网络对一个测试 IP 地址（185.148.1.77）的 42311 端口发起 HTTP 请求，服务器返回了 HTTP 302 状态码，证实服务确实可从互联网直接访问。此配置错误的核心在于脚本未能正确设置 Jellyfin 的 `LocalNetworkAddresses` 绑定参数。

此漏洞的影响极为严重。由于 Jellyfin 在首次运行时需要完成设置向导，若服务已暴露，任何能访问该 IP 和端口的用户都可以抢先创建管理员账户，从而完全控制媒体服务器。此外，已知的 Jellyfin 安全漏洞（CVE）在服务暴露于公网时会显著增加被利用的风险。与此同时，脚本安装的其他 Servarr 系列应用（如 Sonarr, Radarr）也被发现认证方式配置为“无”（AuthenticationMethod: None），进一步削弱了整体安全边界。这些缺陷共同指向该自动化部署脚本目前完全不适合生产环境使用，急需修复。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: security_vulnerability, misconfiguration, media_server, Jellyfin, automation_script
- **Credibility**: unverified
- **Published**: 2026-03-27 11:27:31
- **ID**: 37477
- **URL**: https://whisperx.ai/en/intel/37477