CVE-2026-35033 in Jellyfininformação

Sumário

de VulDB • 23/05/2026

O Jellyfin é um servidor de mídia auto-hospedado de código aberto. As versões anteriores à 10.11.7 contêm uma vulnerabilidade de leitura arbitrária de arquivos não autenticada, causada pela injeção de argumentos do ffmpeg por meio do mecanismo de análise do parâmetro de consulta StreamOptions. O método ParseStreamOptions em StreamingHelpers.cs adiciona qualquer parâmetro de consulta em minúsculas a um dicionário sem validação, contornando o atributo RegularExpression no parâmetro do controlador de nível, e o valor não sanitizado é concatenado diretamente na linha de comando do ffmpeg. Ao injetar um filtro drawtext com um argumento textfile, um atacante pode ler arquivos arbitrários do servidor, como /etc/shadow, e exfiltrar seu conteúdo como texto renderizado na resposta do fluxo de vídeo. O endpoint vulnerável /Videos/{itemId}/stream não possui o atributo Authorize, tornando-o explorável sem autenticação, embora os GUIDs dos itens sejam pseudorrandômicos e exijam um usuário autenticado para serem obtidos. Este problema foi corrigido na versão 10.11.7.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

31/03/2026

Divulgação

15/04/2026

Moderação

aceite

Entrada

VDB-357608

CPE

pronto

EPSS

0.00319

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!