自宅メディアサーバーJellyfinに脆弱性2件、ファイル書き換えの恐れ、CVE-2026-48793ほかv10.11.10へ更新を
自宅サーバーで映画や音楽を配信できる人気ソフト『Jellyfin』に、攻撃者がサーバー上の本来書き込めない場所へファイルを書き込める脆弱性が2件見つかりました。CVE-2026-48793とCVE-2026-49247、深刻度はいずれもCVSS8.8。管理者権限は不要で、複数人で共有していたり外部に公開していたりするサーバーほど危険です。10.11.10より前が対象で、10.11.10へ更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
自宅サーバーで映画や音楽を配信できる人気ソフト『Jellyfin』に、攻撃者がサーバー上の本来書き込めない場所へファイルを書き込める脆弱性が2件見つかりました。CVE-2026-48793とCVE-2026-49247、深刻度はいずれもCVSS8.8。管理者権限は不要で、複数人で共有していたり外部に公開していたりするサーバーほど危険です。10.11.10より前が対象で、10.11.10へ更新を。
自宅のサーバーで映画・音楽・写真を保存して各端末へ配信できる人気ソフト「Jellyfin(ジェリーフィン)」に、攻撃者がサーバー上のファイルを書き換えられる脆弱性(プログラムの欠陥)が2件見つかりました。CVE-2026-48793とCVE-2026-49247で、深刻度はどちらも10点満点中8.8(重要)です。
対象はバージョン10.11.10より前。いずれもGitHubが報告し、2026年6月24日に公開されました。修正は10.11.10に含まれています。一方は悪意ある名前のファイルを、もう一方は一般利用者のログインを入口に、サーバーの本来書き込めない場所へファイルを書き込まれる恐れがあるため、古いバージョンを使っているなら更新が必要です。
Jellyfinとはどんなソフトか
Jellyfinは、自分のパソコンやサーバーに映画・テレビ番組・音楽・写真などをためて、スマホやテレビ、ブラウザから視聴できるようにするメディアサーバーです。月額料金や利用者の行動の追跡がなく、無料で使えるオープンソースとして開発されており、有料サービスのPlexやEmbyの代わりに自宅サーバー(ホームラボ)で使う人に人気があります。
便利な反面、家族や友人など複数の利用者でアカウントを分け合ったり、外出先から見られるようインターネットに公開したりする使い方も多く、その場合は「権限の低い利用者」や「外部から置かれたファイル」をどう安全に扱うかが重要になります。今回の2件は、まさにこの部分の欠陥でした。いずれも10.11.10で修正済みです。
誰が狙い、何をされ、どうなるのか
狙われるのはJellyfinを複数人で共有していたり、外部の人にアカウントを配っていたり、インターネットに公開していたりするサーバーです。攻撃に必要なのは、片方は一般利用者程度のログイン、もう片方は悪意ある名前のファイルをライブラリ(保存フォルダ)に置けること。管理者でなくても条件を満たせてしまう点が要注意です。
攻撃者がすることは、本来は決められた場所にしか書き込めないはずのサーバーに、自分で用意した中身のファイルを、別の場所へ書き込ませることです。狙った場所に細工したファイルを置ければ、設定の書き換えや、他の処理に紛れ込ませた不正なプログラムの実行につなげられる可能性があります。
書き込みはJellyfinサービスの権限で行われるため、サーバーの設定やデータが攻撃者の影響下に入る恐れがあります。自宅サーバーは家庭内の他の機器ともつながっていることが多く、入口は小さくても、そこから家庭内ネットワークの他の機器へ被害が広がる懸念があります。実際に攻撃へ使われ始めた脆弱性は米政府機関CISAの「実際に攻撃されている脆弱性リスト」に載ることがあり、日本語で追える一覧はCISA KEV ダッシュボード(日本語版)にまとめています。
2件の脆弱性の中身
2件はどちらも「外部から渡される文字列を、ファイルの場所や命令の組み立てにそのまま使ってしまった」ことが原因です。入口がそれぞれ異なります。
CVE-2026-48793:字幕変換でファイル名から命令を注入(CVSS 8.8)
公開情報によると、Jellyfinは字幕を変換する処理で、字幕ファイルの場所(パス)を整える処理(NormalizePath)を呼ばないまま、動画変換ソフトFFmpegへの命令文に組み込んでいました。Linux上では、ファイル名にダブルクオート(")を含めると命令文の区切りが崩れ、攻撃者が用意したFFmpeg向けの命令を割り込ませられます。これにより、任意の場所へのファイル書き込みや情報の読み出しが起こり得ます(GHSA-wwwm-px48-fpvq)。
CVE-2026-49247:ログ記録の入口を悪用した経路外への書き込み(CVSS 8.8)
この欠陥は、クライアントのログを受け取る窓口(POST /ClientLog/Document)にあります。Jellyfinは、認証情報(Authorizationヘッダー)に含まれる「Client」「Version」という項目を、保存するファイル名にそのまま使っていました。一般利用者(管理者でなくてよい)が「Client」項目に「../」という上の階層へ移動する文字列を仕込むと、本来の保存先を抜け出して任意の場所へ、攻撃者が指定した中身を書き込めます(末尾は「.log」に固定)。Jellyfinサービスが触れる範囲なら、どこへでも書き込まれる恐れがありました(GHSA-jg92-mrxq-vv75)。
何をすると危ないか早見表
2件は入口(前提条件)が異なります。どちらも10.11.10で修正済みです。
| CVE | 攻撃の前提 | 起こり得ること |
|---|---|---|
| CVE-2026-48793 | 悪意ある名前のファイルを ライブラリに置ける | FFmpegへの命令注入で ファイル書き込み・情報読み出し |
| CVE-2026-49247 | 一般利用者として ログインできる | 経路外への 任意ファイル書き込み |
どちらも管理者権限は不要で、共有運用や外部公開をしているサーバーほどリスクが高くなります。家族だけの閉じた環境より、外部にアカウントを配っている、あるいはインターネットに公開している場合に注意が必要です。
いま取るべき対策
最優先は、Jellyfinを10.11.10以降へ更新することです。公式のリリースや各環境のパッケージから最新版を入手してください。管理画面のダッシュボードでも現在のバージョンを確認できます。
すぐに更新できない場合の緩和策として、次の点が有効です。信頼できない相手にアカウントを配らない、外部の人がファイルを置けるライブラリ運用を避けること。Jellyfinをインターネットに直接公開している場合は、当面は公開を止めるか、信頼できる利用者だけが届く範囲に接続を絞ること。あわせて、身に覚えのないファイルや設定の変更がないかを点検してください。万一に備え、サーバーに保存している認証情報の見直しも検討するとよいでしょう。
まとめ
Jellyfinで見つかった2件(CVE-2026-48793/CVE-2026-49247)は、どちらも外部から渡される文字列を安全に扱えておらず、攻撃者がサーバーの本来書き込めない場所へファイルを書き込めてしまう脆弱性です。深刻度はいずれもCVSS 8.8、管理者権限は不要で、対象は10.11.10より前、10.11.10で修正済みです。
自宅サーバーは家庭内の他の機器とつながっていることが多く、入口が小さくても影響は広がりがちです。複数人で共有していたり、外部に公開していたりするなら、まずバージョンを確認し、古ければ今すぐ更新してください。Jellyfinに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。