Wersje Jellyfin wcześniejsze niż 10.11.7 zawierają łańcuch podatności w endpoincie przesyłania napisów, umożliwiający ostatecznie zdalne wykonanie kodu jako root. Podatność jest krytyczna ze względu na pełne przejęcie serwera przez uprawnionego użytkownika sieciowego.
▸ Pokaż oryginał (EN)
Jellyfin is an open source self hosted media server. Versions prior to 10.11.7 contain a vulnerability chain in the subtitle upload endpoint (POST /Videos/{itemId}/Subtitles), where the Format field is not validated, allowing path traversal via the file extension and enabling arbitrary file write. This arbitrary file write can be chained into arbitrary file read via .strm files, database extraction, admin privilege escalation, and ultimately remote code execution as root via ld.so.preload. Exploitation requires an administrator account or a user that has been explicitly granted the "Upload Subtitles" permission. This issue has been fixed in version 10.11.7. If users are unable to upgrade immediately, they can grant non-administrator users Subtitle upload permissions to reduce attack surface.
Endpoint POST /Videos/{itemId}/Subtitles nie weryfikuje pola Format, co pozwala na path traversal poprzez manipulację rozszerzeniem pliku i zapis dowolnego pliku w systemie plików serwera. Zapisany plik może zostać następnie odczytany poprzez pliki .strm, co umożliwia ekstrakcję bazy danych i eskalację uprawnień do poziomu administratora. Finalnie atakujący może zapisać własną bibliotekę do ld.so.preload, osiągając zdalne wykonanie kodu z uprawnieniami root.
Atakujący może uzyskać pełną kontrolę nad serwerem, w tym odczyt dowolnych plików, ekstrakcję danych z bazy, eskalację uprawnień oraz zdalne wykonanie kodu jako root (RCE).
Należy zaktualizować Jellyfin do wersji 10.11.7 lub nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, zaleca się nienadawanie nieuprzywilejowanym użytkownikom uprawnienia 'Upload Subtitles' w celu ograniczenia powierzchni ataku.
Jellyfin w wersjach wcześniejszych niż 10.11.7. Eksploatacja wymaga konta administratora lub konta użytkownika z jawnie nadanym uprawnieniem 'Upload Subtitles'.
Podatność wymaga uwierzytelnienia (konto administratora lub użytkownik z uprawnieniem 'Upload Subtitles'), co ogranicza wektor ataku, lecz nie umniejsza krytyczności skutków po przełamaniu tego warunku wstępnego. Poprawka dostępna w wersji 10.11.7 opublikowanej przez producenta.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HJellyfin
APPJellyfin< 10.11.7
Powiązane podatności
Jellyfin: odczyt dowolnych plików przez command injection w ffmpeg
Krytyczna podatność RCE w workflow GitHub Actions Jellyfin iOS
jellyfin-web is the web client for Jellyfin, a free-software media system. Starting in version 10.1.0 and prio...
Jellyfin is an open source self hosted media server. Versions prior to 10.11.7 contain a vulnerability chain i...
Jellyfin is an open source self hosted media server. Versions before 10.10.7 are vulnerable to argument inject...