Vulnerabilidad en Jellyfin (CVE-2024-43801)

Jellyfin es un servidor multimedia alojado en un servidor propio de código abierto. La carga de la imagen de perfil de usuario de Jellyfin acepta archivos SVG, lo que permite un ataque XSS almacenado contra un usuario administrador a través de un archivo SVG malicioso especialmente manipulado. Cuando un administrador lo ve fuera de la interfaz web de Jellyfin (por ejemplo, a través de "ver imagen" en un navegador), este archivo SVG malicioso podría interactuar con el almacenamiento local del navegador y recuperar un token de acceso, que a su vez se puede utilizar en una llamada de API para elevar al usuario objetivo a un administrador de Jellyfin. Es poco probable que se explote el vector de ataque real, ya que requiere acciones específicas por parte del administrador para ver la imagen SVG fuera de la interfaz web de Jellyfin, es decir, no es un ataque pasivo. El mecanismo de explotación subyacente se resuelve con la PR #12490, que obliga a que las imágenes adjuntas (incluido el SVG potencialmente malicioso) se traten como archivos adjuntos y, por lo tanto, se descarguen por los navegadores, en lugar de verse. Esto evita la explotación del almacenamiento local del navegador. Esta PR se ha fusionado y los cambios de código relevantes se incluyen en la versión de lanzamiento 10.9.10. Se recomienda a todos los usuarios que actualicen.