CVE-2026-35032

Name of the Vulnerable Software and Affected Versions Jellyfin versões anteriores a 10.11.7

Description Uma falha existe no endpoint do sintonizador M3U LiveTV 'POST /LiveTv/TunerHosts', onde a URL do sintonizador não é validada. Isso permite que um usuário autenticado realize a leitura de arquivos locais via caminhos não-HTTP e Server-Side Request Forgery (SSRF), que é a capacidade de induzir o servidor a fazer requisições para um local não pretendido, via URLs HTTP. Como a permissão EnableLiveTvManagement é habilitada por padrão para novos usuários, um invasor pode adicionar um sintonizador M3U apontando para um servidor malicioso. Ao fornecer um M3U manipulado com um canal apontando para o banco de dados do Jellyfin, o invasor pode exfiltrar o banco de dados para extrair tokens de sessão de administrador e escalar privilégios para administrador.

Recommendations Atualizar para a versão 10.11.7. Como medida paliativa temporária, desabilite os privilégios de Gerenciamento de TV ao Vivo para todos os usuários.