Jellyfin is a free software media system that provides media from a dedicated server to end-user devices via multiple apps. Verions prior to 10.7.3 vulnerable to unauthenticated Server-Side Request Forgery (SSRF) attacks via the imageUrl parameter. This issue potentially exposes both internal and external HTTP servers or other resources available via HTTP `GET` that are visible from the Jellyfin server. The vulnerability is patched in version 10.7.3. As a workaround, disable external access to the API endpoints `/Items/*/RemoteImages/Download`, `/Items/RemoteSearch/Image` and `/Images/Remote` via reverse proxy, or limit to known-friendly IPs.
Jellyfin es un sistema multimedia de software libre que proporciona multimedia desde un servidor dedicado a los dispositivos del usuario final por medio de múltiples aplicaciones. Las versiones anteriores a 10.7.3 son vulnerables a ataques de tipo Server-Side Request Forgery (SSRF) no autenticado por medio del parámetro imageUrl. Este problema expone potencialmente a los servidores HTTP internos y externos u otros recursos disponibles por medio de HTTP "GET" que son visibles desde el servidor Jellyfin. La vulnerabilidad está parcheada en la versión 10.7.3. Como solución alternativa, deshabilite el acceso externo a los endpoints de la API "/Items/*/RemoteImages/Download", "/Items/RemoteSearch/Image" y "/Images/Remote" por medio de un proxy inverso, o limite de las direcciones IP amigables conocidas
