CVE-2026-35034 in Jellyfininformazioni

Riassunto

di VulDB • 19/06/2026

Jellyfin è un server multimediale open source auto-ospitato. Le versioni precedenti alla 10.11.7 presentano una vulnerabilità di denial of service nell'endpoint per la creazione del gruppo SyncPlay (POST /SyncPlay/New), in cui un utente autenticato può creare gruppi con nomi di dimensione illimitata a causa di una validazione dell'input insufficiente. Inviando payload di grandi dimensioni combinati con ID di gruppo arbitrari, un attaccante può bloccare l'endpoint per altri client che tentano di accedere ai gruppi SyncPlay e aumentare significativamente il consumo di memoria del processo Jellyfin, potenzialmente portando a un crash out-of-memory. Questo problema è stato risolto nella versione 10.11.7.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

15/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00260

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!