CVE-2026-35034

Name of the Vulnerable Software and Affected Versions Jellyfin versões anteriores a 10.11.7

Description Um usuário autenticado pode causar uma negação de serviço através do endpoint 'POST /SyncPlay/New'. Devido à validação insuficiente de entrada, é possível criar grupos com nomes de tamanho ilimitado. Ao enviar cargas úteis grandes combinadas com IDs de grupo arbitrários, um invasor pode bloquear o endpoint para outros clientes e aumentar significativamente o uso de memória do processo, o que pode levar a um travamento por falta de memória (out-of-memory).

Recommendations Atualizar para a versão 10.11.7.