CVE-2024-43801

Versões do Jellyfin anteriores à 10.9.10

O recurso de upload de imagens de perfil do usuário do Jellyfin aceita arquivos SVG, permitindo um ataque XSS armazenado contra um usuário administrador por meio de um arquivo SVG malicioso especialmente criado. Quando visualizado por um administrador fora da interface do usuário (UI) da web do Jellyfin, esse arquivo SVG malicioso pode interagir com o LocalStorage do navegador e recuperar um AccessToken, que, por sua vez, pode ser usado em uma chamada de API para elevar o usuário alvo à condição de administrador do Jellyfin. É improvável que o vetor de ataque real seja explorado, pois requer ações específicas do administrador para visualizar a imagem SVG fora da interface do usuário (UI) da web do Jellyfin.

Para versões anteriores à 10.9.10, atualize para a versão 10.9.10 para resolver o problema. Como solução temporária, considere desativar o upload de arquivos SVG para perfis de usuário até que o patch seja aplicado. Restrinja o acesso ao recurso de upload de imagens de perfil de usuário para minimizar o risco de exploração. Evite visualizar imagens de perfil de usuário fora da interface do usuário da Web do Jellyfin para impedir uma possível interação com o LocalStorage do navegador.