CVE-2026-35032 in Jellyfin
Riassunto
di VulDB • 17/06/2026
Jellyfin è un server multimediale open source auto-ospitato. Le versioni precedenti alla 10.11.7 contengono una catena di vulnerabilità nell'endpoint del tuner LiveTV M3U (POST /LiveTv/TunerHosts), in cui l'URL del tuner non viene convalidato, consentendo la lettura di file locali tramite percorsi non HTTP e Server-Side Request Forgery (SSRF) tramite URL HTTP. Questo è sfruttabile da qualsiasi utente autenticato poiché il permesso EnableLiveTvManagement è impostato su true per impostazione predefinita per tutti i nuovi utenti. Un attaccante può concatenare queste vulnerabilità aggiungendo un tuner M3U puntato a un server controllato dall'attaccante, che serve un M3U elaborato con un canale puntato al database di Jellyfin, esfiltrando il database per estrarre i token di sessione admin ed elevando i privilegi a quelli di amministratore. Questo problema è stato risolto nella versione 10.11.7. Se gli utenti non possono effettuare l'aggiornamento immediatamente, possono disabilitare i privilegi di gestione della TV in diretta per tutti gli utenti.
If you want to get best quality of vulnerability data, you may have to visit VulDB.