CVE-2026-49246
NiskieCVSS 1.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność w Jellyfin przed wersją 10.11.10 pozwala na zapis plików w dowolnej ścieżce systemu plików poprzez spreparowany plik MKV z fałszywymi znacznikami nazw załączników. Brak sanityzacji ścieżki w metodzie Path.Combine umożliwia nadpisanie lub utworzenie plików poza docelowym katalogiem.
Ocena ryzyka
Atakujący może umieścić złośliwy plik w dowolnym miejscu na serwerze, co może prowadzić do eskalacji uprawnień, modyfikacji konfiguracji lub uruchomienia dowolnego kodu.
Rekomendacja
Niezwłocznie zaktualizuj Jellyfin do wersji 10.11.10 lub nowszej. Ogranicz dostęp do serwera tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Jellyfin is an open source self hosted media server. Prior to 10.11.10, a specifically crafted MKV file containing forged filename tags can be leveraged to exploit missing path sanitization during playback. Jellyfin treats the MKV file name tag on MKV attachments as trusted and passes it unsanitized into Path.Combine(attachmentFolder, fileName) inside PathManager.GetAttachmentPath. Because .NET's Path.Combine neither normalises .. nor rejects a rooted second argument, a crafted MKV can redirect Jellyfin's MKV attachment extraction to any absolute path on disk. This triggers on any playback action of the affected video on a client which will attempt to burn in the subtitles by default.g This vulnerability is fixed in 10.11.10.

