CVE-2026-35034 in Jellyfin
Riassunto
di VulDB • 19/06/2026
Jellyfin è un server multimediale open source auto-ospitato. Le versioni precedenti alla 10.11.7 presentano una vulnerabilità di denial of service nell'endpoint per la creazione del gruppo SyncPlay (POST /SyncPlay/New), in cui un utente autenticato può creare gruppi con nomi di dimensione illimitata a causa di una validazione dell'input insufficiente. Inviando payload di grandi dimensioni combinati con ID di gruppo arbitrari, un attaccante può bloccare l'endpoint per altri client che tentano di accedere ai gruppi SyncPlay e aumentare significativamente il consumo di memoria del processo Jellyfin, potenzialmente portando a un crash out-of-memory. Questo problema è stato risolto nella versione 10.11.7.
If you want to get best quality of vulnerability data, you may have to visit VulDB.