CVE-2026-49247
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
Podatność w Jellyfin od wersji 10.9.0 do 10.11.9 umożliwia uwierzytelnionym użytkownikom niebędącym administratorami zapisanie dowolnych plików na serwerze poprzez manipulację polem Client w nagłówku Authorization. Atakujący może użyć sekwencji ../ w tym polu, aby nadpisać pliki w dowolnych lokalizacjach dostępnych dla usługi Jellyfin, z wymuszonym rozszerzeniem .log.
Ocena ryzyka
Ryzyko obejmuje możliwość nadpisania krytycznych plików konfiguracyjnych lub skryptów, co może prowadzić do eskalacji uprawnień, uruchomienia złośliwego kodu lub trwałego uszkodzenia serwera.
Rekomendacja
Należy niezwłocznie zaktualizować Jellyfin do wersji 10.11.10, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do API dla nieufnych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Jellyfin is an open source self hosted media server. From 10.9.0 until 10.11.10, the POST /ClientLog/Document endpoint accepts the Authorization header's Client and Version fields and uses them unsanitized as components of the on-disk filename when persisting client-uploaded log documents. As a result, any authenticated non-admin user can include ../ sequences in the Client field to cause Jellyfin to write attacker-controlled content to arbitrary paths reachable by the Jellyfin service user, with a forced .log suffix. This vulnerability is fixed in 10.11.10.

