Kritische RCE-Lücke in Jellyfin iOS-App - CVE-2026-31852

Zusammenfassung

Die Jellyfin iOS-App hat eine Sicherheitslücke in ihrem GitHub Actions-Workflow, die beliebigen Schadcode über Pull-Requests aus Fork-Repositories ausführen lässt. Die erhöhten Berechtigungen dieses Workflows bergen erhebliche Risiken wie Übernahme des Repositorys, Exfiltration sensibler Daten und mögliche Supply-Chain-Angriffe auf den App Store. Diese kritische Schwachstelle mit der CVE-ID CVE-2026-31852 gefährdet die Integrität der gesamten Jellyfin-Organisation.

Jellyfin - Code-quality.yml - CRITICAL - CVE-2026-31852. The Jellyfin iOS application has a vulnerability in its GitHub Actions workflow, allowing arbitrary code execution through pull requests from forked repositories. The elevated permissions granted by this workflow pose significant risks, including repository takeover, exfiltration of sensitive secrets, and potential supply chain attacks on the Apple App Store. This vulnerability affects the overall integrity of the Jellyfin organization through possible cross-repository token usage, making it critical for repository maintainers to manage permissions carefully.