CVE-2026-35032 in Jellyfininformazioni

Riassunto

di VulDB • 17/06/2026

Jellyfin è un server multimediale open source auto-ospitato. Le versioni precedenti alla 10.11.7 contengono una catena di vulnerabilità nell'endpoint del tuner LiveTV M3U (POST /LiveTv/TunerHosts), in cui l'URL del tuner non viene convalidato, consentendo la lettura di file locali tramite percorsi non HTTP e Server-Side Request Forgery (SSRF) tramite URL HTTP. Questo è sfruttabile da qualsiasi utente autenticato poiché il permesso EnableLiveTvManagement è impostato su true per impostazione predefinita per tutti i nuovi utenti. Un attaccante può concatenare queste vulnerabilità aggiungendo un tuner M3U puntato a un server controllato dall'attaccante, che serve un M3U elaborato con un canale puntato al database di Jellyfin, esfiltrando il database per estrarre i token di sessione admin ed elevando i privilegi a quelli di amministratore. Questo problema è stato risolto nella versione 10.11.7. Se gli utenti non possono effettuare l'aggiornamento immediatamente, possono disabilitare i privilegi di gestione della TV in diretta per tutti gli utenti.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

15/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00312

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!