CVE-2026-35031

Name of the Vulnerable Software and Affected Versions Jellyfin versões anteriores a 10.11.7

Description Uma falha existe no endpoint de upload de legendas '/Videos/{itemId}/Subtitles' onde o campo Format não é validado. Isso permite a travessia de diretório (path traversal) por meio da extensão do arquivo, possibilitando a escrita de arquivos arbitrários. Isso pode ser encadeado para alcançar a leitura de arquivos arbitrários via arquivos .strm, extração de banco de dados, escalonamento de privilégios de administrador e execução remota de código como root via ld.so.preload. A exploração requer uma conta de administrador ou um usuário que tenha recebido explicitamente a permissão de Upload de Legendas.

Recommendations Atualizar para a versão 10.11.7. Restringir a permissão de Upload de Legendas para usuários não administradores para reduzir a superfície de ataque.