CVE-2026-35034 in Jellyfininfo

Zusammenfassung

von VulDB • 17.05.2026

Jellyfin ist ein quelloffener, selbst gehosteter Medienserver. Versionen vor 10.11.7 enthalten eine Denial-of-Service-Schwachstelle im Endpunkt zur Erstellung von SyncPlay-Gruppen (POST /SyncPlay/New), bei der ein authentifizierter Benutzer Gruppen mit Namen unbegrenzter Größe erstellen kann, da die Eingabevalidierung unzureichend ist. Durch das Senden großer Payloads in Kombination mit beliebigen Gruppen-IDs kann ein Angreifer den Endpunkt für andere Clients, die versuchen, SyncPlay-Gruppen beizutreten, blockieren und die Speichernutzung des Jellyfin-Prozesses erheblich erhöhen, was potenziell zu einem Out-of-Memory-Crash führt. Dieses Problem wurde in Version 10.11.7 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

31.03.2026

Veröffentlichung

15.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357630

CPE

bereit

EPSS

0.00260

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!