jellyfinにおける複数の脆弱性
| Title |
jellyfinにおける複数の脆弱性
|
| Summary |
Jellyfinはオープンソースのセルフホスト型メディアサーバーです。バージョン10.11.7より前のバージョンには、StreamOptionsクエリパラメータの解析機構を通じたffmpeg引数インジェクションによって認証なしで任意のファイルを読み取れる脆弱性が含まれていました。StreamingHelpers.csのParseStreamOptionsメソッドは、検証を行わずに任意の小文字のクエリパラメータを辞書に追加し、レベルコントローラのRegularExpression属性を回避します。その結果、サニタイズされていない値が直接ffmpegのコマンドラインに連結されます。drawtextフィルターのtextfile引数を注入することにより、攻撃者は/etc/shadowなどの任意のサーバーファイルを読み取り、その内容を動画ストリームのレスポンス内にテキストとして描画し、外部に流出させることが可能です。脆弱な/Videos/{itemId}/streamエンドポイントにはAuthorize属性がなく認証なしで悪用され得ますが、itemのGUIDは疑似乱数で生成され、取得には認証ユーザーが必要となっています。この問題はバージョン10.11.7で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 14, 2026, midnight |
| Registration Date |
April 24, 2026, 11:43 a.m. |
| Last Update |
April 24, 2026, 11:43 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Affected System
| jellyfin |
|
jellyfin 10.11.7 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月24日]
掲載 |
April 24, 2026, 11:43 a.m. |
NVD Vulnerability Information
CVE-2026-35033
| Summary |
Jellyfin is an open source self hosted media server. Versions prior to 10.11.7 contain an unauthenticated arbitrary file read vulnerability via ffmpeg argument injection through the StreamOptions query parameter parsing mechanism. The ParseStreamOptions method in StreamingHelpers.cs adds any lowercase query parameter to a dictionary without validation, bypassing the RegularExpression attribute on the level controller parameter, and the unsanitized value is concatenated directly into the ffmpeg command line. By injecting a drawtext filter with a textfile argument, an attacker can read arbitrary server files such as /etc/shadow and exfiltrate their contents as text rendered in the video stream response. The vulnerable /Videos/{itemId}/stream endpoint has no Authorize attribute, making this exploitable without authentication, though item GUIDs are pseudorandom and require an authenticated user to obtain. This issue has been fixed in version 10.11.7.
|
| Publication Date |
April 15, 2026, 8:16 a.m. |
| Registration Date |
April 15, 2026, 11:42 a.m. |
| Last Update |
April 23, 2026, 11:02 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:jellyfin:jellyfin:*:*:*:*:*:*:*:* |
|
|
|
10.11.7 |
Related information, measures and tools
Common Vulnerabilities List