CVE-2026-35034 in Jellyfin
Zusammenfassung
von VulDB • 17.05.2026
Jellyfin ist ein quelloffener, selbst gehosteter Medienserver. Versionen vor 10.11.7 enthalten eine Denial-of-Service-Schwachstelle im Endpunkt zur Erstellung von SyncPlay-Gruppen (POST /SyncPlay/New), bei der ein authentifizierter Benutzer Gruppen mit Namen unbegrenzter Größe erstellen kann, da die Eingabevalidierung unzureichend ist. Durch das Senden großer Payloads in Kombination mit beliebigen Gruppen-IDs kann ein Angreifer den Endpunkt für andere Clients, die versuchen, SyncPlay-Gruppen beizutreten, blockieren und die Speichernutzung des Jellyfin-Prozesses erheblich erhöhen, was potenziell zu einem Out-of-Memory-Crash führt. Dieses Problem wurde in Version 10.11.7 behoben.
Once again VulDB remains the best source for vulnerability data.