Katalog CVE

CVE-2026-48793

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

Podatność w Jellyfin przed wersją 10.11.10 umożliwia wstrzyknięcie argumentów do FFmpeg przez specjalnie spreparowaną nazwę pliku napisów. Atakujący bez uwierzytelnienia może wykorzystać brak normalizacji ścieżki w SubtitleEncoder, co prowadzi do zapisu dowolnych plików na serwerze i ujawnienia informacji.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowany zapis plików na serwerze oraz wyciek danych, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży poufnych informacji.

Rekomendacja

Należy natychmiast zaktualizować Jellyfin do wersji 10.11.10 lub nowszej. Ograniczyć dostęp do katalogów bibliotek medialnych tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Jellyfin is an open source self hosted media server. Prior to 10.11.10, a potential FFmpeg argument injection vulnerability exists in the subtitle conversion code path. SubtitleEncoder.ConvertTextSubtitleToSrtInternal (SubtitleEncoder.cs, line 382) interpolates the subtitle file path into FFmpeg command-line arguments without calling EncodingUtils.NormalizePath(). On Linux, filenames can contain double-quote characters, which break the argument quoting and allow injection of arbitrary FFmpeg arguments. The vulnerability is reachable without authentication via SubtitleController.GetSubtitle, which has no [Authorize] attribute. An attacker who can place a file in a Jellyfin media library directory (shared NAS, Samba share, guest upload) can achieve arbitrary file write on the server and information disclosure. This vulnerability is fixed in 10.11.10.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS