CVE-2026-35031 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Jellyfin 字幕上传接口未校验 `Format` 字段。 💥 **后果**:导致**路径遍历** + **任意文件写入**,最终引发 **RCE(远程代码执行)**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-20 (输入验证不足)。 📍 **缺陷点**:字幕上传端点逻辑缺陷,**未验证**输入格式,允许构造恶意路径。
Q3影响谁?(版本/组件)
📦 **产品**:Jellyfin 媒体系统。 📅 **版本**:**10.11.7 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:攻击者可获得 **RCE** 权限。 📂 **数据**:可任意读取/修改服务器文件,完全控制媒体服务器。
Q5利用门槛高吗?(认证/配置)
🔑 **门槛**:**中等**。 🛡️ **要求**:需要 **PR:L (低权限认证)**,即攻击者需拥有 Jellyfin 账号。无需用户交互。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:目前 **无** 公开 PoC 或 在野利用报告。 📝 **状态**:仅存在理论利用链。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Jellyfin 版本是否 < **10.11.7**。 📡 **扫描**:针对字幕上传接口进行模糊测试,观察是否响应异常路径。
Q8官方修了吗?(补丁/缓解)
✅ **补丁**:**已修复**。 📥 **方案**:升级至 **v10.11.7** 或更高版本。参考 GitHub Advisory。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:若无法升级,**禁用**字幕上传功能。 🚫 **限制**:限制上传端点的访问权限,仅对可信用户开放。
Q10急不急?(优先级建议)
⚡ **优先级**:**高**。 📉 **风险**:CVSS **9.1 (Critical)**。虽需认证,但后果严重(RCE),建议**立即升级**。