CVE-2025-32012

Nome do Software Vulnerável e Versões Afetadas Versões do Jellyfin 10.9.0 a 10.10.6

Descrição O problema afeta o Jellyfin, um servidor de mídia auto-hospedado de código aberto. Envolve o endpoint /System/Restart, que se destina a administradores para reiniciar o servidor Jellyfin. No entanto, este endpoint também autoriza solicitações de qualquer dispositivo na mesma rede local que o servidor Jellyfin. Devido ao método utilizado para determinar o IP de origem de uma solicitação, um atacante não autenticado pode falsificar seu IP para parecer um IP da LAN, permitindo-lhe reiniciar o processo do servidor Jellyfin sem autenticação. Isso permite que um atacante não autenticado realize um ataque de negação de serviço em qualquer servidor Jellyfin com configuração padrão, enviando solicitações falsificadas para reiniciar o servidor repetidamente. O método de falsificação de IP também contorna alguns mecanismos de segurança e poderia potencialmente contornar a exigência de reinício administrativo se combinado com execução remota de código.

Recomendações Para as versões do Jellyfin 10.9.0 a 10.10.6, atualize para a versão 10.10.7 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint /System/Restart para evitar reinicializações não autorizadas até que uma correção seja aplicada.