Ir al contenido principal

Seguridad de Jellyfin y tú

· 3 min de lectura
Joshua Boniface
Joshua Boniface
Project Leader
Traducción Beta No Oficial

Esta página fue traducida por PageTurner AI (beta). No está respaldada oficialmente por el proyecto. ¿Encontraste un error? Reportar problema →

Acabamos de lanzar nuestra versión estable 10.8.13. Esta actualización corrige dos graves vulnerabilidades de seguridad, que se detallarán completamente en aproximadamente 1-2 semanas. Por favor, actualiza tus instancias de Jellyfin lo antes posible antes de que estas vulnerabilidades se hagan públicas.

Como parte de este lanzamiento, hemos modificado el comportamiento de la opción de configuración "Ruta de FFmpeg" en la GUI de Jellyfin. En concreto, en la versión 10.8.13, esta funcionalidad ha sido deshabilitada y será completamente reemplazada en la próxima versión principal (10.9.0). Editar este valor en la GUI en 10.8.13 o posteriores no tendrá efecto. A corto plazo, quienes deseen realizar cambios adicionales en su binario FFmpeg deberán hacerlo editando el archivo de configuración encoding.xml en lugar de usar la GUI, y será necesario reiniciar el servidor después del cambio. Ten en cuenta también que el flag --ffmpeg podría o no cambiar esto según tu versión original; aunque deberías actualizarlo para que coincida, es posible que también necesites modificar el archivo XML.

Esta característica proviene de Emby 3.5 y los primeros días de Jellyfin, cuando la configuración personalizada de FFmpeg era más común y a menudo necesaria, especialmente para habilitar aceleración hardware o versiones más nuevas que las del sistema operativo. Sin embargo, actualmente consideramos que es una función muy poco utilizada, ya que la mayoría de servidores emplean nuestros paquetes predeterminados jellyfin-ffmpeg, por lo que el impacto de este cambio es mínimo. La modificación tampoco afecta a instalaciones existentes o configuraciones no predeterminadas de este valor; estas se preservan, y solo se bloquean cambios futuros en la GUI.

Afortunadamente para nuestros usuarios, esta opción siempre ha requerido privilegios de administrador en la instancia de Jellyfin, por lo que necesitaba un administrador malintencionado para explotarla con fines nocivos. Somos conscientes de que este cambio viola los estándares de versionamiento semántico, pero tras varias vulnerabilidades en 10.8 que incluían o podrían incluir este endpoint como vector, hemos decidido eliminarlo ahora para evitar mayor exposición mientras trabajamos en 10.9.0. Aunque aún no hemos definido completamente cómo se implementará esta funcionalidad en la próxima versión, igualmente requerirá reconfiguración externa a la aplicación y reinicio del servidor para garantizar seguridad.

Finalmente, recordamos a todos los usuarios que otorgar acceso administrativo a un servidor Jellyfin equivale, en muchos aspectos, a conceder acceso de terminal. Un usuario administrativo puede realizar acciones peligrosas como borrar archivos o sobrescribir configuraciones, incluso sin esta función; los plugins también pueden otorgar mayor acceso, incluyendo terminal completa si así lo deciden. Por ello, siempre es más seguro evitar conceder este privilegio excepto cuando sea estrictamente necesario, y solo otorgar permisos administrativos a personas de confianza con cuentas protegidas por contraseñas robustas. Además, recomendamos no usar usuarios administrativos para uso diario, especialmente en aplicaciones cliente, por posibles vulnerabilidades futuras.