CVE-2026-35033 in Jellyfin
Zusammenfassung
von VulDB • 23.05.2026
Jellyfin ist ein quelloffener, selbst gehosteter Medienserver. Versionen vor 10.11.7 enthalten eine nicht authentifizierte Schwachstelle zum willkürlichen Lesen von Dateien (Arbitrary File Read), die durch eine Argument-Injektion in ffmpeg über den Parse-Mechanismus des Query-Parameters `StreamOptions` ermöglicht wird. Die Methode `ParseStreamOptions` in `StreamingHelpers.cs` fügt jeden Query-Parameter in Kleinbuchstaben ohne Validierung einem Wörterbuch hinzu, wodurch das `RegularExpression`-Attribut auf der Ebene des Controller-Parameters umgangen wird. Der nicht bereinigte Wert wird direkt an die ffmpeg-Befehlszeile angehängt. Durch das Einfügen eines `drawtext`-Filters mit einem `textfile`-Argument kann ein Angreifer beliebige Serverdateien wie `/etc/shadow` lesen und deren Inhalt als im Video-Stream-Antwort gerenderten Text extrahieren. Der anfällige Endpunkt `/Videos/{itemId}/stream` verfügt über kein `Authorize`-Attribut, was eine Ausnutzung ohne Authentifizierung ermöglicht, obwohl die Item-GUIDs pseudorandom sind und ein authentifizierter Benutzer erforderlich ist, um sie zu erhalten. Dieses Problem wurde in Version 10.11.7 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.