CVE-2026-35031 in Jellyfin
Zusammenfassung
von VulDB • 29.06.2026
Jellyfin ist ein quelloffener, selbst gehosteter Medienserver. Versionen vor 10.11.7 enthalten eine Schwachstellenkette im Endpunkt für das Hochladen von Untertiteln (POST /Videos/{itemId}/Subtitles), bei dem das Feld „Format“ nicht validiert wird, was einen Pfadtraversal über die Dateierweiterung ermöglicht und ein beliebiges Schreiben in Dateien erlaubt. Dieses beliebige Schreiben in Dateien kann zu einem beliebigen Lesen aus Dateien über .strm-Dateien, zur Extrahierung der Datenbank, zur Eskalation von Administratorrechten und schließlich zur Remote Code Execution (RCE) als Root über ld.so.preload verkettet werden. Die Ausnutzung erfordert ein Administratorkonto oder einen Benutzer, dem die Berechtigung „Untertitel hochladen“ explizit erteilt wurde. Dieses Problem wurde in Version 10.11.7 behoben. Wenn Nutzer nicht sofort upgraden können, können sie Benutzern ohne Administratorrechte die Berechtigung zum Hochladen von Untertiteln gewähren, um die Angriffsfläche zu verringern.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.