Vulnerabilidad en Jellyfin (CVE-2025-31499)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/04/2025
Última modificación:
16/04/2025
Descripción
Jellyfin es un servidor multimedia autoalojado de código abierto. Las versiones anteriores a la 10.10.7 son vulnerables a la inyección de argumentos en FFmpeg. Esto puede aprovecharse para lograr la ejecución remota de código por parte de cualquier persona con credenciales de un usuario con pocos privilegios. Esta vulnerabilidad se reportó previamente en CVE-2023-49096 y se corrigió en la versión 10.8.13, pero el parche puede ser evadido. La corrección original sanea algunos parámetros para imposibilitar la inyección, pero ciertos parámetros no saneados aún pueden usarse para la inyección de argumentos. Los mismos endpoints no autenticados son vulnerables: /Videos//stream y /Videos//stream., probablemente junto con endpoints similares en AudioController. Esta inyección de argumentos puede explotarse para lograr la escritura arbitraria de archivos, lo que puede llevar a la ejecución remota de código a través del sistema de complementos. Si bien los endpoints no autenticados son vulnerables, se requiere un itemId válido para su explotación, y cualquier atacante autenticado podría obtener fácilmente un itemId válido para que la explotación funcione. Esta vulnerabilidad está corregida en la versión 10.10.7.
Impacto
Puntuación base 4.0
7.60
Gravedad 4.0
ALTA