製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

jellyfinにおける複数の脆弱性

タイトル	jellyfinにおける複数の脆弱性
概要	Jellyfinはオープンソースのセルフホスト型メディアサーバーです。バージョン10.11.7より前のバージョンには、StreamOptionsクエリパラメータの解析機構を通じたffmpeg引数インジェクションによって認証なしで任意のファイルを読み取れる脆弱性が含まれていました。StreamingHelpers.csのParseStreamOptionsメソッドは、検証を行わずに任意の小文字のクエリパラメータを辞書に追加し、レベルコントローラのRegularExpression属性を回避します。その結果、サニタイズされていない値が直接ffmpegのコマンドラインに連結されます。drawtextフィルターのtextfile引数を注入することにより、攻撃者は/etc/shadowなどの任意のサーバーファイルを読み取り、その内容を動画ストリームのレスポンス内にテキストとして描画し、外部に流出させることが可能です。脆弱な/Videos/{itemId}/streamエンドポイントにはAuthorize属性がなく認証なしで悪用され得ますが、itemのGUIDは疑似乱数で生成され、取得には認証ユーザーが必要となっています。この問題はバージョン10.11.7で修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月14日0:00
登録日	2026年4月24日11:43
最終更新日	2026年4月24日11:43

CVSS3.0 : 緊急
スコア	9.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

影響を受けるシステム

jellyfin

jellyfin 10.11.7 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-35033	https://www.cve.org/CVERecord?id=CVE-2026-35033
National Vulnerability Database (NVD)
2	CVE-2026-35033	https://nvd.nist.gov/vuln/detail/CVE-2026-35033

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-862	https://cwe.mitre.org/data/definitions/862.html
2	CWE-88	https://cwe.mitre.org/data/definitions/88.html

ベンダー情報

No	名前	URL
GitHub
1	Potential SSRF + Arbitrary file read via stream argument injection Advisory jellyfin/jellyfin GitHub	https://github.com/jellyfin/jellyfin/security/advisories/GHSA-jh22-fw8w-2v9x

その他

No	名前	URL
関連文書
1	Release 10.11.7 jellyfin/jellyfin GitHub	https://github.com/jellyfin/jellyfin/releases/tag/v10.11.7

変更履歴

No	変更内容	変更日
1	[2026年04月24日] 掲載	2026年4月24日11:43

NVD脆弱性情報

CVE-2026-35033

概要	Jellyfin is an open source self hosted media server. Versions prior to 10.11.7 contain an unauthenticated arbitrary file read vulnerability via ffmpeg argument injection through the StreamOptions query parameter parsing mechanism. The ParseStreamOptions method in StreamingHelpers.cs adds any lowercase query parameter to a dictionary without validation, bypassing the RegularExpression attribute on the level controller parameter, and the unsanitized value is concatenated directly into the ffmpeg command line. By injecting a drawtext filter with a textfile argument, an attacker can read arbitrary server files such as /etc/shadow and exfiltrate their contents as text rendered in the video stream response. The vulnerable /Videos/{itemId}/stream endpoint has no Authorize attribute, making this exploitable without authentication, though item GUIDs are pseudorandom and require an authenticated user to obtain. This issue has been fixed in version 10.11.7.
公表日	2026年4月15日8:16
登録日	2026年4月15日11:42
最終更新日	2026年4月23日23:02

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:jellyfin:jellyfin::::::::					10.11.7

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/jellyfin/jellyfin/releases/tag/v10.11.7	security-advisories@github.com
2	https://github.com/jellyfin/jellyfin/security/advisories/GHSA-jh22-fw8w-2v9x	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-862	認証の欠如	https://cwe.mitre.org/data/definitions/862.html
2	CWE-88	引数の挿入または変更	https://cwe.mitre.org/data/definitions/88.html