Jellyfin-server
Уязвимости
22
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.79855
Распределение по критичности
Критический
2
Высокий
8
Средний
8
Низкий
0
Также сопоставлено как (исходные строки): jellyfin-server
Топ уязвимостей
CVE-2026-31852Jellyfin - это медиасистема с открытым исходным кодом. Рабочий процесс code-quality.yml GitHub Actions в jellyfin/jellyfin-ios уязвим для произвольного выполнения кода с помощью запросов на вытягивание из раздвоенных репозиториев. Из-за повышенных разрешений рабочего процесса (почти всех разрешений на написание) эта уязвимость обеспечивает полное захват хранилища желефина / желефина, эксфильтрацию очень привилегированных секретов, атаку цепочки поставок Apple App Store, отравление пакетом GitHub Container Registry (ghcr.io) и полный компрометацию организации желе. Примечание: Это не уязвимость кода, а уязвимость в рабочих процессах GitHub Actions. Для этого GHSA не требуется никакой новой версии, и конечным пользователям не нужно предпринимать никаких действий.
CVE-2026-35033Jellyfin - это самостоятельные медиа-сервер с открытым исходным кодом. Версии до 10.11.7 содержат неаутентифицированную уязвимость произвольного считывания файла через инъекцию аргумента ffmpeg через механизм разбора параметров запросов StreamOptions. Метод ParseStreamOptions в StreamingHelpers.cs добавляет любой параметр сней части запроса к словарю без проверки, минуя атрибут RegularExpression на параметре контроллера уровня, а несанцинизированное значение конкатенируется непосредственно в командную строку fmpeg. Вводя фильтр рисунка с помощью аргумента текста текста, злоумышленник может читать произвольные файлы сервера, такие как /etc/shadow, и эксфильтровать их содержимое в виде текста, отображаемого в ответе видеопотока. Уязвимая /Videos/{itemId}/stream конечная точка не имеет авторизованного атрибута, что делает его эксплуатируемым без аутентификации, хотя РУКОВОДСТВО по элементам является псевдослучайным и требует аутентификации пользователя для получения. Эта проблема исправлена в версии 10.11.7.
CVE-2026-35031Jellyfin - это самостоятельный медиасервер с открытым исходным кодом. Версий до 10.11.7 содержит цепочку уязвимостей в конечной точке загрузки подзаголовка (POST /Videos/{{itemId}/Subtitles), где поле Формата не подтверждено, что позволяет осуществлять прохождение пути через расширение файла и обеспечивает произвольную запись файлов. Эта произвольная запись файла может быть прикована к произвольному файлу, прочитанному через файлы .strm, извлечение базы данных, эскалацию привилегий администратора и, в конечном счете, удаленное выполнение кода в качестве корня через ld.so.preload. Эксплуатация требует учетной записи администратора или пользователя, которому было явно предоставлено разрешение «Субтитры загрузки». Эта проблема была исправлена в версии 10.11.7. Если пользователи не могут немедленно обновиться, они могут предоставить пользователям, не являющимся администраторами, разрешения на загрузку Subtitle для уменьшения поверхности атаки.
CVE-2023-49096Jellyfin — это бесплатная система мультимедиа для управления и потоковой передачи мультимедиа. В затронутых версиях существует внедрение аргументов в VideosController, в частности, в конечных точках `/Videos/<itemId>/stream` и `/Videos/<itemId>/stream.<container>`, которые присутствуют в текущей версии Jellyfin. Дополнительные конечные точки в AudioController также могут быть уязвимы, поскольку они незначительно отличаются по выполнению. Эти конечные точки доступны неаутентифицированному пользователю. Чтобы использовать эту уязвимость, неаутентифицированному злоумышленнику необходимо угадать itemId, который является совершенно случайным GUID. Это очень маловероятный случай даже для большой мультимедийной базы данных с большим количеством элементов. Без дополнительной утечки информации эта уязвимость не должна быть напрямую используемой, даже если экземпляр доступен из Интернета. Существует множество параметров запроса, которые принимаются методом. По крайней мере, два из них, videoCodec и audioCodec, уязвимы для внедрения аргументов. Значения можно отследить через большой объем кода, и они могут быть изменены в процессе. Однако резервным вариантом всегда является их использование как есть, что означает, что мы можем внедрить свои собственные аргументы. Эти аргументы попадают в командную строку FFmpeg. Поскольку UseShellExecute всегда имеет значение false, мы не можем просто завершить команду FFmpeg и выполнить свою собственную. Должна быть только возможность добавления дополнительных аргументов в FFmpeg, что достаточно мощно само по себе. Вероятно, существует способ перезаписи произвольного файла вредоносным контентом. Эта уязвимость была устранена в версии 10.8.13. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой уязвимости.
CVE-2022-35909В Jellyfin до версии 10.8 конечная точка /users имеет неправильный контроль доступа для функций администратора.
CVE-2026-35032Jellyfin - это самостоятельный медиасервер с открытым исходным кодом. Версии до 10.11.7 содержат цепочку уязвимостей в конце точки тюнера LiveTV M3U (POST /LiveTv/TunerHosts), где URL-адрес тюнера не подтвержден, что позволяет локальному файлу читать по не-HTTP траекториям и подделке запроса на серверную сторону (SSRF) через HTTP URL-адреса. Это может быть использовано любым аутентифицированным пользователем, потому что разрешение EnableLiveTvManagement по умолчанию соответствует действительности для всех новых пользователей. Террорист может зацепить эти уязвимости, добавив тюнер M3U, указывающий на сервер, контролируемый злоумышленником, обслуживая созданный M3U с каналом, указывающий на базу данных Jellyfin, эксфильтруя базу данных для извлечения токенов админ-сессии и перестраивая привилегии администратора. Эта проблема была исправлена в версии 10.11.7. Если пользователи не могут немедленно обновиться, они могут отключить привилегии Live TV Management для всех пользователей.
CVE-2023-30626Jellyfin - это система медиа, предоставляемая в свободном программном обеспечении. Версии, начиная с 10.8.0 и до 10.8.10, имеют уязвимость обхода каталога.
CVE-2025-31499Jellyfin - это самостоялец, размещенный на медиа-сервере с открытым исходным кодом. Версии до 10.10.7 уязвимы для аргументации инъекции в FFmpeg. Это может быть использовано для возможного достижения удаленного выполнения кода любым, у кого есть полномочия для низкопривилегированного пользователя. Эта уязвимость ранее была зарегистрирована в CVE-2023-49096 и исправлена в версии 10.8.13, но патч можно обойти. Первоначальное исправление санирует некоторые параметры, чтобы сделать инъекции невозможным, но некоторые недезинфицированные параметры все еще могут быть использованы для инъекции аргумента. Те же неаутентичные конечные точки уязвимы: /Videos/<itemId>/stream и /Videos/<itemId>/stream.<container>, вероятно, наряду с аналогичными конечными точками в AudioController. Этот аргумент инъекции может быть использован для достижения произвольного написания файлов, что приводит к возможному удаленному выполнению кода через систему плагинов. В то время как неаутентифицированные конечные точки уязвимы, для эксплуатации требуется действительный идентификатор предмета, и любой аутентифицированный злоумышленник может легко получить действительный элемент Id, чтобы заставить эксплойт работать. Эта уязвимость исправлена в версии 10.10.7.
CVE-2023-27161В Jellyfin до v10.7.7 обнаружена подделка запросов на стороне сервера (SSRF) через компонент /Repositories. Эта уязвимость позволяет злоумышленникам получать доступ к сетевым ресурсам и конфиденциальной информации через специально созданный POST-запрос.
CVE-2023-48702Jellyfin - это система для управления и потоковой передачи мультимедиа. До версии 10.8.13 конечная точка `/System/MediaEncoder/Path` выполняет произвольный файл с использованием `ProcessStartInfo` через функцию `ValidateVersion`. Злонамеренный администратор может настроить сетевую папку и предоставить UNC-путь к `/System/MediaEncoder/Path`, который указывает на исполняемый файл в сетевой папке, в результате чего сервер Jellyfin запустит исполняемый файл в локальном контексте. Конечная точка была удалена в версии 10.8.13.
CVE-2026-35034Jellyfin - это самостоятельные медиа-сервер с открытым исходным кодом. Версий до 10.11.7 содержит уязвимость отказа в обслуживании в конечной точке создания группы SyncPlay (POST /SyncPlay/New), где аутентифицированный пользователь может создавать группы с именами неограниченного размера из-за недостаточной валидации ввода. Отправляя большие полезные нагрузки в сочетании с произвольными идентификаторами группы, злоумышленник может заблокировать конечную точку для других клиентов, пытающихся присоединиться к группам SyncPlay, и значительно увеличить использование памяти процесса Jellyfin, что может привести к краху вне памяти. Эта проблема исправлена в версии 10.11.7.
CVE-2021-21402Jellyfin — это бесплатная система мультимедиа. В Jellyfin до версии 10.7.1 при использовании определенных конечных точек правильно сформированные запросы позволяют произвольно считывать файлы из файловой системы сервера Jellyfin. Эта проблема более распространена при использовании Windows в качестве хост-ОС. Серверы, подключенные к общедоступному Интернету, потенциально подвержены риску. Эта проблема устранена в версии 10.7.1. В качестве обходного пути пользователи могут ограничить некоторый доступ, применив строгие разрешения безопасности к своей файловой системе, однако рекомендуется обновить систему как можно скорее.
CVE-2021-29490Jellyfin — это бесплатная программная медиасистема, которая предоставляет медиа с выделенного сервера на устройства конечного пользователя через несколько приложений. Версии до 10.7.3 уязвимы для неаутентифицированных атак Server-Side Request Forgery (SSRF) через параметр imageUrl. Эта проблема потенциально раскрывает как внутренние, так и внешние HTTP-серверы или другие ресурсы, доступные через HTTP `GET`, которые видны с сервера Jellyfin. Уязвимость устранена в версии 10.7.3. В качестве обходного пути отключите внешний доступ к конечным точкам API `/Items/*/RemoteImages/Download`, `/Items/RemoteSearch/Image` и `/Images/Remote` через обратный прокси-сервер или ограничьте доступ к известным доверенным IP-адресам.
CVE-2024-43801Jellyfin - это медиасервер с открытым исходным кодом и возможностью самостоятельного размещения. Загрузка изображений профиля пользователя Jellyfin принимает SVG-файлы, что позволяет осуществить сохраненную XSS-атаку на пользователя-администратора с помощью специально созданного вредоносного SVG-файла. При просмотре администратором вне веб-интерфейса Jellyfin (например, через «просмотр изображения» в браузере) этот вредоносный SVG-файл может взаимодействовать с LocalStorage браузера и извлекать AccessToken, который, в свою очередь, можно использовать в вызове API для повышения прав целевого пользователя до администратора Jellyfin. Фактический вектор атаки вряд ли будет использован, поскольку он требует определенных действий со стороны администратора для просмотра SVG-изображения вне WebUI Jellyfin, то есть это не пассивная атака. Базовый механизм эксплуатации устранен PR #12490, который заставляет прикрепленные изображения (включая потенциально вредоносный SVG) обрабатываться как вложения и, следовательно, загружаться браузерами, а не просматриваться. Это предотвращает эксплуатацию LocalStorage браузера. Этот PR был объединен, и соответствующие изменения кода включены в версию 10.9.10. Всем пользователям рекомендуется обновиться.
CVE-2023-23636В Jellyfin 10.8.x до 10.8.3 имя плейлиста уязвимо для сохраненного XSS. Это позволяет злоумышленнику украсть токены доступа из localStorage жертвы.
CVE-2023-23635В Jellyfin 10.8.x до 10.8.3 имя коллекции уязвимо для сохраненного XSS. Это позволяет злоумышленнику украсть токены доступа из localStorage жертвы.
CVE-2022-35910В Jellyfin до версии 10.8 хранимая XSS позволяет украсть токен доступа администратора.
CVE-2025-32012Jellyfin - это самостоятельные медиа-сервер с открытым исходным кодом. В версиях с 10.9.0 до 10.10.7 конечная точка /System/Restart предоставляет администраторам возможность перезапустить свой сервер Jellyfin. Эта конечная точка предназначена только для администраторов, но она также разрешает запросы от любого устройства в той же локальной сети, что и сервер Jellyfin. Благодаря методу, который Jellyfin использует для определения исходного IP запроса, неаутентифицированный злоумышленник может подменить свой IP-адрес, чтобы он появился в качестве IP-адреса LAN, что позволяет им перезапустить процесс сервера Jellyfin без аутентификации. Это означает, что неаутентифицированный злоумышленник может организовать атаку отказа в обслуживании на любой сервер Jellyfin, настроенный по умолчанию, просто отправляя один и тот же подпопытный запрос каждые несколько секунд, чтобы перезапустить сервер снова и снова. Этот метод IP-подделки также обходит некоторые механизмы безопасности, вызывает атаку отказа в обслуживании и может обойти требование о перезапуске администратора в сочетании с удаленным выполнением кода. Этот вопрос исправлен в версии 10.10.7.
CVE-2026-49247CVE-2026-49247
CVE-2026-49246CVE-2026-49246
CVE-2026-49220CVE-2026-49220
CVE-2026-48793CVE-2026-48793