CVE-2026-35033 in Jellyfininfo

Zusammenfassung

von VulDB • 23.05.2026

Jellyfin ist ein quelloffener, selbst gehosteter Medienserver. Versionen vor 10.11.7 enthalten eine nicht authentifizierte Schwachstelle zum willkürlichen Lesen von Dateien (Arbitrary File Read), die durch eine Argument-Injektion in ffmpeg über den Parse-Mechanismus des Query-Parameters `StreamOptions` ermöglicht wird. Die Methode `ParseStreamOptions` in `StreamingHelpers.cs` fügt jeden Query-Parameter in Kleinbuchstaben ohne Validierung einem Wörterbuch hinzu, wodurch das `RegularExpression`-Attribut auf der Ebene des Controller-Parameters umgangen wird. Der nicht bereinigte Wert wird direkt an die ffmpeg-Befehlszeile angehängt. Durch das Einfügen eines `drawtext`-Filters mit einem `textfile`-Argument kann ein Angreifer beliebige Serverdateien wie `/etc/shadow` lesen und deren Inhalt als im Video-Stream-Antwort gerenderten Text extrahieren. Der anfällige Endpunkt `/Videos/{itemId}/stream` verfügt über kein `Authorize`-Attribut, was eine Ausnutzung ohne Authentifizierung ermöglicht, obwohl die Item-GUIDs pseudorandom sind und ein authentifizierter Benutzer erforderlich ist, um sie zu erhalten. Dieses Problem wurde in Version 10.11.7 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

31.03.2026

Veröffentlichung

15.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357608

CPE

bereit

EPSS

0.00319

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!