CVE-2026-35033

Name of the Vulnerable Software and Affected Versions Jellyfin versões anteriores a 10.11.7

Description Uma leitura arbitrária de arquivos não autenticada é possível via injeção de argumentos do ffmpeg através do mecanismo de análise de parâmetros de consulta. O método ParseStreamOptions em StreamingHelpers.cs adiciona parâmetros de consulta em letras minúsculas a um dicionário sem validação, ignorando o atributo RegularExpression no parâmetro do controlador de nível. Esse valor não sanitizado é então concatenado diretamente na linha de comando do ffmpeg. Um invasor pode injetar um filtro drawtext com um argumento textfile para ler arquivos arbitrários do servidor, como /etc/shadow, e exfiltrar o conteúdo como texto renderizado na resposta do fluxo de vídeo. O endpoint afetado é '/Videos/{itemId}/stream', que carece de um atributo Authorize, permitindo a exploração sem autenticação, embora os GUIDs dos itens sejam pseudoaleatórios.

Recommendations Atualizar para a versão 10.11.7.