Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Jellyfin (CVE-2025-32012)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/04/2025
Última modificación:
16/04/2025

Descripción

Jellyfin es un servidor multimedia autoalojado de código abierto. En las versiones 10.9.0 y anteriores a la 10.10.7, el endpoint /System/Restart permite a los administradores reiniciar su servidor Jellyfin. Este endpoint está diseñado para uso exclusivo de administradores, pero también autoriza solicitudes desde cualquier dispositivo en la misma red local que el servidor Jellyfin. Gracias al método que Jellyfin utiliza para determinar la IP de origen de una solicitud, un atacante no autenticado puede falsificar su IP para que parezca una IP de LAN, lo que le permite reiniciar el proceso del servidor Jellyfin sin autenticación. Esto significa que un atacante no autenticado podría lanzar un ataque de denegación de servicio contra cualquier servidor Jellyfin con configuración predeterminada simplemente enviando la misma solicitud falsificada cada pocos segundos para reiniciar el servidor una y otra vez. Este método de suplantación de IP también elude algunos mecanismos de seguridad, provoca un ataque de denegación de servicio y, posiblemente, elude el requisito de reinicio del administrador si se combina con la ejecución remota de código. Este problema se solucionó en la versión 10.10.7.