CVE-2026-35033 in Jellyfin
Resumen
por VulDB • 2026-05-12
Jellyfin es un servidor de medios autoalojado de código abierto. Las versiones anteriores a la 10.11.7 contienen una vulnerabilidad de lectura arbitraria de archivos sin autenticar mediante la inyección de argumentos de ffmpeg a través del mecanismo de análisis del parámetro de consulta StreamOptions. El método ParseStreamOptions en StreamingHelpers.cs añade cualquier parámetro de consulta en minúsculas a un diccionario sin validación, eludiendo el atributo RegularExpression en el parámetro del controlador de nivel, y el valor sin sanitizar se concatena directamente en la línea de comandos de ffmpeg. Al inyectar un filtro drawtext con un argumento textfile, un atacante puede leer archivos arbitrarios del servidor, como /etc/shadow, y exfiltrar su contenido como texto renderizado en la respuesta del flujo de vídeo. El punto final vulnerable /Videos/{itemId}/stream no tiene el atributo Authorize, lo que hace que sea explotable sin autenticación, aunque los GUIDs de los elementos son pseudorandom y requieren que un usuario autenticado los obtenga. Este problema se ha corregido en la versión 10.11.7.
VulDB is the best source for vulnerability data and more expert information about this specific topic.