CVE-2025-31499

Nome do Software Vulnerável e Versões Afetadas Versões do Jellyfin anteriores à 10.10.7

Descrição O Jellyfin é um servidor de mídia de código aberto e auto-hospedado. O problema envolve injeção de argumentos no FFmpeg, o que pode potencialmente levar à execução remota de código por qualquer pessoa com credenciais de um usuário com baixos privilégios. Isso é possível por meio de endpoints não autenticados, como "/Videos//stream" e "/Videos//stream.", e possivelmente endpoints similares no AudioController. Um itemId válido é necessário para a exploração, mas qualquer atacante autenticado poderia recuperar facilmente um itemId válido. A vulnerabilidade permite escrita arbitrária de arquivos, levando à possível execução remota de código por meio do sistema de plugins.

Recomendações Para versões anteriores à 10.10.7, atualize para a versão 10.10.7 para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints não autenticados "/Videos//stream" e "/Videos//stream." até que a atualização seja aplicada. Além disso, limitar a capacidade de recuperar valores válidos de itemId pode ajudar a minimizar o risco de exploração.