Katalog CVE

CVE-2026-49220

ŚrednieCVSS 5.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Jellyfin, otwartoźródłowy serwer multimedialny, przed wersją 10.11.9 zawierał potencjalną podatność XSS, która pozwalała na wykonanie dowolnego kodu Javascript przez nieuprzywilejowanego użytkownika w kontekście zalogowanego użytkownika administracyjnego. Atak mógł wystąpić poprzez nagłówek Client podczas AuthenticateByName.

Ocena ryzyka

Podatność ta może prowadzić do poważnych problemów bezpieczeństwa, w tym kradzieży danych lub przejęcia konta administracyjnego, co zagraża integralności systemu.

Rekomendacja

Zaleca się aktualizację do wersji 10.11.9 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

Jellyfin is an open source self hosted media server. Prior to 10.11.9, a potential XSS attack exists in Jellyfin which can allow a non-privileged user to execute arbitrary Javascript in the context of a logged-in Administrative user, resulting in numerous potential issues. The Client header during an AuthenticateByName can contain arbitrary HTML and Javascript, which will then be executed by the Administrative user when visiting the Access tab of the user in question from within the dashboard. This vulnerability is fixed in 10.11.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS