| Port | Service | Version | Auth | Risque |
|---|---|---|---|---|
| 80 | OpenResty/nginx | – | – | INFO |
| 3000 | MoviePilot (FastAPI) | 0.1.0 | JWT / Partiel | CRITIQUE |
| 8080 | WeChat Proxy | nginx | Aucune | HIGH |
| 55000 | Service Go inconnu | – | ? | MEDIUM |
L'endpoint /cookiecloud/ et /cookiecloud/get/{uuid} sont accessibles sans authentification. CookieCloud est un service de synchronisation de cookies navigateur (sessions, tokens, mots de passe stockés). Tout UUID valide permet de récupérer les cookies chiffrés d'un utilisateur.
Impact : Accès aux sessions actives de tous les sites synchronisés par l'utilisateur (streaming, banques, emails…)
Les endpoints /docs, /redoc et /api/v1/openapi.json sont accessibles sans authentification. Cela expose la liste exhaustive des 100+ endpoints de MoviePilot, leurs paramètres, et les endpoints sans sécurité obligatoire.
Endpoints sans auth identifiés : system/global, plugin/file/{id}/{path}, mfa/status/{username}, login/wallpaper, subscribe/seerr
Le port 8080 expose un proxy WeChat (微信代理搭建成功) sans aucune authentification. Ce service peut être utilisé par n'importe qui pour proxyfier du trafic WeChat via ce serveur, entraînant des risques légaux et d'abus de ressources.
L'endpoint /api/v1/plugin/file/{plugin_id}/{filepath} est listé sans sécurité dans l'OpenAPI spec. Selon l'implémentation, il peut permettre de lire des fichiers arbitraires du conteneur via path traversal (../../../etc/passwd).
L'endpoint /api/v1/system/global?token=X utilise un système de token différent du JWT principal. Retourne Forbidden sur token invalide mais accepte les requêtes — surface de brute-force ou token par défaut possible.
Un service HTTP Go répond sur le port 55000 (200 OK sur /, 404 ailleurs). Aucun header d'identification. Peut être un agent de monitoring, proxy interne, ou service custom. Investigation en cours.
L'endpoint POST /api/v1/login/access-token ne semble pas limiter les tentatives. Brute-force du mot de passe admin possible sans blocage apparent.