Jellyfin — это бесплатная программная медиасистема, которая предоставляет медиа с выделенного сервера на устройства конечного пользователя через несколько приложений. Версии до 10.7.3 уязвимы для неаутентифицированных атак Server-Side Request Forgery (SSRF) через параметр imageUrl. Эта проблема потенциально раскрывает как внутренние, так и внешние HTTP-серверы или другие ресурсы, доступные через HTTP GET, которые видны с сервера Jellyfin. Уязвимость устранена в версии 10.7.3. В качестве обходного пути отключите внешний доступ к конечным точкам API /Items/*/RemoteImages/Download, /Items/RemoteSearch/Image и /Images/Remote через обратный прокси-сервер или ограничьте доступ к известным доверенным IP-адресам.