CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-35031

Critical
Published: Translated: NVD NIST

Summary

Jellyfin to otwartoźródłowy serwer multimedialny, który w wersjach przed 10.11.7 zawiera łańcuch podatności w punkcie końcowym przesyłania napisów. Pole Format nie jest walidowane, co pozwala na przejście ścieżki przez rozszerzenie pliku i umożliwia zapis dowolnych plików.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do eskalacji uprawnień administratora, wyciągania danych z bazy oraz zdalnego wykonania kodu jako root. Wymaga to posiadania konta administratora lub użytkownika z przyznanym uprawnieniem 'Przesyłanie napisów'.

Recommendation

Zaleca się aktualizację do wersji 10.11.7, aby usunąć tę podatność. Jeśli aktualizacja nie jest możliwa, można przyznać użytkownikom niebędącym administratorami uprawnienia do przesyłania napisów, aby zmniejszyć powierzchnię ataku.

Original NVD description (English source)

Jellyfin is an open source self hosted media server. Versions prior to 10.11.7 contain a vulnerability chain in the subtitle upload endpoint (POST /Videos/{itemId}/Subtitles), where the Format field is not validated, allowing path traversal via the file extension and enabling arbitrary file write. This arbitrary file write can be chained into arbitrary file read via .strm files, database extraction, admin privilege escalation, and ultimately remote code execution as root via ld.so.preload. Exploitation requires an administrator account or a user that has been explicitly granted the "Upload Subtitles" permission. This issue has been fixed in version 10.11.7. If users are unable to upgrade immediately, they can grant non-administrator users Subtitle upload permissions to reduce attack surface.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS