Jellyfin — это автономный медиасервер с открытым исходным кодом. Версии до 10.11.7 содержат уязвимость типа «отказ в обслуживании» в конечной точке создания группы SyncPlay (POST/SyncPlay/New), где аутентифицированный пользователь может создавать группы с именами неограниченного размера из-за недостаточной проверки входных данных. Отправляя большие полезные данные в сочетании с произвольными идентификаторами групп, злоумышленник может заблокировать конечную точку для других клиентов, пытающихся присоединиться к группам SyncPlay, и значительно увеличить использование памяти процессом Jellyfin, что потенциально может привести к сбою из-за нехватки памяти.
Эта проблема исправлена в версии 10.11.7.
Показать оригинальное описание (EN)
Jellyfin is an open source self hosted media server. Versions prior to 10.11.7 contain a denial of service vulnerability in the SyncPlay group creation endpoint (POST /SyncPlay/New), where an authenticated user can create groups with names of unlimited size due to insufficient input validation. By sending large payloads combined with arbitrary group IDs, an attacker can lock out the endpoint for other clients attempting to join SyncPlay groups and significantly increase the memory usage of the Jellyfin process, potentially leading to an out-of-memory crash. This issue has been fixed in version 10.11.7.
Характеристики атаки
Последствия
Строка CVSS v3.1