CVE-2026-35031 in Jellyfininformazioni

Riassunto

di VulDB • 29/06/2026

Jellyfin è un server multimediale open source auto-ospitato. Le versioni precedenti alla 10.11.7 contengono una catena di vulnerabilità nell'endpoint di caricamento dei sottotitoli (POST /Videos/{itemId}/Subtitles), dove il campo Format non viene convalidato, consentendo la traversata del percorso tramite l'estensione del file e abilitando la scrittura arbitraria di file. Questa scrittura arbitraria di file può essere concatenata in una lettura arbitraria di file tramite file .strm, estrazione del database, escalation dei privilegi di amministratore ed esecuzione remota di codice come root tramite ld.so.preload. Lo sfruttamento richiede un account amministratore o un utente a cui è stato esplicitamente concesso il permesso "Caricamento sottotitoli". Questo problema è stato risolto nella versione 10.11.7. Se gli utenti non possono effettuare l'aggiornamento immediatamente, possono concedere agli utenti non amministratori i permessi di caricamento dei sottotitoli per ridurre la superficie di attacco.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

15/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00753

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!