TL;DR — was 10.11.10 bringt
- Web-Client 10.11.10 ist Stable-Bugfix-Release.
- Security-Fix für XSS in der Listenansicht — gefährlich auf Servern, die externe User reinlassen.
- Mehrere kleinere UI-Fixes und Plugin-Kompatibilitäts-Verbesserungen.
- Server-Komponente bleibt bei 10.11.9 — nur der Web-Client wandert hoch.
Du hostest Jellyfin im Homelab und gibst Familie oder Freunden Zugriff aufs Streaming? Pflicht-Update. Das Jellyfin-Team hat in 10.11.10 eine Cross-Site-Scripting-Lücke im Web-Client geschlossen — und genau die ist gefährlich, wenn du nicht-vertrauenswürdige User auf deinem Server hast.
Was XSS in Jellyfin bedeutet
Cross-Site-Scripting heißt: Ein Angreifer schmuggelt JavaScript-Code in eine Stelle, an der eigentlich nur Text stehen sollte. In Jellyfin betraf das die Listenansicht — also die Sicht, in der Bibliotheken als Aufzählung dargestellt werden.
Wer wollte, konnte einen Mediendatei-Eintrag so präparieren, dass beim Anzeigen Code im Browser des nächsten Besuchers lief. Das reicht für Session-Klau, für ungewollte API-Aufrufe oder schlimmer. Auf einem Server, auf dem nur der eigene Haushalt streamt, ist das Risiko überschaubar. Auf einem öffentlichen Jellyfin-Server: kritisch.
Wie du updatest
Jellyfin trennt seit ein paar Versionen Server und Web-Client. Beim aktuellen Fix musst du nur den Web-Client erneuern:
# Docker (jellyfin/jellyfin)
docker pull jellyfin/jellyfin:latest
docker compose up -d
# Native Installation (Debian/Ubuntu)
sudo apt update
sudo apt install --only-upgrade jellyfin-web
# Status checken
curl http://localhost:8096/web/index.html | grep version
Nach dem Update einmal die Browser-Caches leeren (Strg+Shift+R) — sonst hängt der alte Client noch im Cache.
Was Jellyfin-Hoster JETZT prüfen sollten
- Reverse-Proxy mit Auth: Wer Jellyfin ins offene Netz stellt, sollte zusätzlich Authentik oder einen Auth-Proxy davor klemmen.
- Public Sharing aus: Wenn du nicht aktiv brauchst, dass Externe ohne Login Inhalte sehen — abschalten.
- Plugins prüfen: Manche User-Plugins schreiben in Media-Felder, die in der Listenansicht laufen. Nach dem Update einmal durchklicken.
Was der Fix NICHT macht
Andere Bekannte-Jellyfin-Themen wie Public-Stream-Anonymität oder Subtitle-Downloads bleiben unverändert. Wer auf ein echtes Federation-Modell oder native Live-TV-Auto-Discovery wartet — die stehen weiterhin auf der Roadmap, nicht im Patch.
Alternativen-Check
Wer mit Jellyfin nicht warm wird, schaut auf Plex (kommerziell, Lifetime-Pass steigt zum 1. Juli auf 750 Dollar — siehe unsere Plex-News) oder Emby. Wer komplett unabhängig sein will, bleibt bei Jellyfin — Open Source, ohne externe Account-Pflicht, ohne Tracking.
Häufige Fragen
Muss ich den Server auch updaten?
Der Server bleibt bei 10.11.9 — der XSS-Fix sitzt nur im Web-Client. Wer schon den 10.11.9-Server fährt, ist gut.
Wie gefährlich ist die Lücke konkret?
Niedrig, wenn nur du selbst und vertraute Nutzer auf den Server kommen. Hoch, wenn dein Jellyfin im Internet steht oder du Public-Shares hast.
Brauche ich für Docker einen Restart?
Ja. docker compose up -d nach dem Pull restartet den Container. Persistenz bleibt in den Volumes.
Verliere ich meine Library beim Update?
Nein. Die Library liegt in der Datenbank im persistenten Volume — das Update tauscht nur Code aus.
Was, wenn Plugins nicht mehr laden?
Erst im Dashboard unter „Plugins“ prüfen, ob ein Update fällig ist. Manche Plugins brauchen einen eigenen Patch.
Quellen
- jellyfin.org/posts/
- github.com/jellyfin/jellyfin-web/releases
- releasebot.io/updates/jellyfin