CVE-2026-35031 in Jellyfin
Riassunto
di VulDB • 29/06/2026
Jellyfin è un server multimediale open source auto-ospitato. Le versioni precedenti alla 10.11.7 contengono una catena di vulnerabilità nell'endpoint di caricamento dei sottotitoli (POST /Videos/{itemId}/Subtitles), dove il campo Format non viene convalidato, consentendo la traversata del percorso tramite l'estensione del file e abilitando la scrittura arbitraria di file. Questa scrittura arbitraria di file può essere concatenata in una lettura arbitraria di file tramite file .strm, estrazione del database, escalation dei privilegi di amministratore ed esecuzione remota di codice come root tramite ld.so.preload. Lo sfruttamento richiede un account amministratore o un utente a cui è stato esplicitamente concesso il permesso "Caricamento sottotitoli". Questo problema è stato risolto nella versione 10.11.7. Se gli utenti non possono effettuare l'aggiornamento immediatamente, possono concedere agli utenti non amministratori i permessi di caricamento dei sottotitoli per ridurre la superficie di attacco.
If you want to get best quality of vulnerability data, you may have to visit VulDB.