CVE-2021-29490

**Nome do software vulnerável e versões afetadas:

Versões do Jellyfin anteriores à 10.7.3

Descrição:

A vulnerabilidade permite ataques de falsificação de solicitação do lado do servidor (SSRF) sem autenticação por meio do parâmetro imageUrl, expondo potencialmente servidores HTTP internos e externos ou outros recursos disponíveis via HTTP GET que sejam visíveis a partir do servidor Jellyfin.

Recomendações:

Para versões anteriores à 10.7.3, atualize para a versão 10.7.3 para resolver o problema.

Como solução alternativa temporária, considere desativar o acesso externo aos pontos de extremidade da API “/Items/*/RemoteImages/Download”, “/Items/RemoteSearch/Image” e “/Images/Remote” por meio de proxy reverso, ou limite o acesso a endereços IP conhecidos como confiáveis.