Lilyemby通知

和EMBY 官方交流了一下，这个漏洞逻辑因为涉及到emby 靠近底层的一些API判断，所以官方的意思是没有这么快修好，建议我使用白名单和内网访问

所以莉莉决定自己和团队里面重构一下emby 网络服务和验证部分，可能还要几天时间，先和大家道歉

后面恢复后所有有效用户补一个月，但没有修好期间发电的用户同样享受补偿

莉莉绝不会向现实老鼠和网络老鼠人妥协，就算我有钱也不会向这种老鼠支付一分钱


这件事的进度我会持续更新在 @lilydedy 里面，这边就不重复发公告打扰大家了


𝒍𝒊𝒍𝒚
2025-10-27

Lilyemby通知

本次事件通报和处理情况


事件原因
Emby MediaBrowser 存在非常严重越权漏洞


漏洞1
漏洞编号
ILVN-ID: ILVN-2025-0235
CVE-ID: CVE-2025-46387
公开日期 ： 2025.7.20
危害级别 ： 非常高
漏洞描述 ： Emby MediaBrowser存在非常严重的权限安全漏洞，攻击者可利用该漏洞通过用户控制密钥绕过授权

漏洞类型: CWE-639 — Authorization Bypass Through User-Controlled Key
受影响产品: Emby MediaBrowser 版本 4.9.0.35 以下的所有版本


漏洞2
漏洞编号
暂未公布，已经向emby官方反馈
漏洞描述 ： 存在API越权漏洞，攻击者可通过API Token拼接进行字典爆破



解决方案
已有临时阻止解决方案
已向emby官方反馈
https://t.me/lilydedy/222


lilyemby补偿方案
恢复后进行全员补偿，具体恢复后查看频道


事件复盘
1. 该漏洞早已存在，并非昨天勒索我们的老鼠人发现，老鼠人只是使用并勒索以获取存在感
2. 莉莉早在两周前已经得到热心群友报告，但因为在坡县工作忙，所以未得到重视，向各位用户道歉
3. 本次事件主要受伤是广大观看lilyemby的普通用户，老鼠人为了满足自己勒索的私欲，将所有Telegram emby圈用户隐私公开（emby服务端日志有通过网页下载过的痕迹，该老鼠人非常有可能将其贩卖），并将该漏洞进行使用并勒索，其司马昭之心昭然若揭

看到很多人问emby的用户隐私，集中解释一下，这个日志只是emby的日志里面有对应的 用户名-IP-UA-观看内容路径，没有TG ID等其他内容


𝒍𝒊𝒍𝒚
2025-10-23

Emby通知

emby 暂时关闭几天，所有媒体资源正常，谷歌盘备份正常，硬盘备份正常

需要大概三到五天时间重建媒体库

另外回应一下几个
1. 谷歌盘仅作为备份，路径中的GD符号只是方便识别
2. lilyemby 、zox 、和机场合作暂时均为lily的业务，分别作为公益公费和合作，后端资源共享，但线路不同
3. lilyemby所有公告均在频道内公开展示，请老鼠人详细阅读频道内容，再来和我杠，如果老鼠人看不懂，建议重修普通话
4. 鉴于老鼠人说话前言不搭后语，无法做任何交流，lily不再做任何回复



下面附上完整聊天记录录屏
https://t.me/lilydedy/219


2025-10-23

#通知 😉😉😉


服务器暂时关闭，等待处理，过后补偿

任何资源都没有任何影响
所有资源都有备份

谷歌盘和硬盘各有备份


emby 服务端部分插件可能出现问题 ，导致API泄露

SSH 没事，毕竟这人没这么大本事能破ssh


参考 https://hicane.com/archives/geek-ji-yi-ci-embyserver-zao-ru-qin-hou-de-ying-ji-xiang-ying-guo-cheng

建议各位腐竹检查一下

2025-10-22