CVE-2025-31499

Jellyfin is an open source self hosted media server. Versions before 10.10.7 are vulnerable to argument injection in FFmpeg. This can be leveraged to possibly achieve remote code execution by anyone with credentials to a low-privileged user. This vulnerability was previously reported in CVE-2023-49096 and patched in version 10.8.13, but the patch can be bypassed. The original fix sanitizes some parameters to make injection impossible, but certain unsanitized parameters can still be used for argument injection. The same unauthenticated endpoints are vulnerable: /Videos/<itemId>/stream and /Videos/<itemId>/stream.<container>, likely alongside similar endpoints in AudioController. This argument injection can be exploited to achieve arbitrary file write, leading to possible remote code execution through the plugin system. While the unauthenticated endpoints are vulnerable, a valid itemId is required for exploitation and any authenticated attacker could easily retrieve a valid itemId to make the exploit work. This vulnerability is patched in version 10.10.7.

CVSS

No CVSS.

References

Link	Resource
https://github.com/jellyfin/jellyfin/commit/79f3ce53257c5291887cd52d8ac735b5252c9a97
https://github.com/jellyfin/jellyfin/security/advisories/GHSA-2c3c-r7gp-q32m

Configurations

No configuration.

History

16 Apr 2025, 13:25

Type	Values Removed	Values Added
Summary		(es) Jellyfin es un servidor multimedia autoalojado de código abierto. Las versiones anteriores a la 10.10.7 son vulnerables a la inyección de argumentos en FFmpeg. Esto puede aprovecharse para lograr la ejecución remota de código por parte de cualquier persona con credenciales de un usuario con pocos privilegios. Esta vulnerabilidad se reportó previamente en CVE-2023-49096 y se corrigió en la versión 10.8.13, pero el parche puede ser evadido. La corrección original sanea algunos parámetros para imposibilitar la inyección, pero ciertos parámetros no saneados aún pueden usarse para la inyección de argumentos. Los mismos endpoints no autenticados son vulnerables: /Videos//stream y /Videos//stream., probablemente junto con endpoints similares en AudioController. Esta inyección de argumentos puede explotarse para lograr la escritura arbitraria de archivos, lo que puede llevar a la ejecución remota de código a través del sistema de complementos. Si bien los endpoints no autenticados son vulnerables, se requiere un itemId válido para su explotación, y cualquier atacante autenticado podría obtener fácilmente un itemId válido para que la explotación funcione. Esta vulnerabilidad está corregida en la versión 10.10.7.

15 Apr 2025, 21:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-04-15 21:16

Updated : 2025-04-16 13:25

NVD link : CVE-2025-31499

Mitre link : CVE-2025-31499

CVE.ORG link : CVE-2025-31499

JSON object : View

Products Affected

No product.

CWE

CWE-88

Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')

JSON object

Attach tags to CVE-2025-31499

Attach tags to `CVE-2025-31499`