FFmpeg 高危漏洞曝光,可被远程触发执行任意代码,Jellyfin、Kodi 等大量软件受影响
CVE-2026-8461(研究人员命名为 PixelSmash)是 FFmpeg 的 libavcodec 库中 MagicYUV 解码器的堆越界写入漏洞,CVSS 评分 8.8(高危,JFrog 评定),影响 8.1.2 之前的所有版本,只要让目标处理一个特制的 AVI、MKV 或 MOV 视频文件即可触发,轻则导致程序崩溃,在 ASLR 被关闭或配合其他漏洞绕过该保护的情况下还可实现远程代码执行;JFrog 实测确认 Kodi、mpv、ffmpegthumbnailer(GNOME/KDE/XFCE 缩略图功能所依赖)、Jellyfin、Emby、Nextcloud、Immich、PhotoPrism、OBS Studio 会因此崩溃,并在 Jellyfin 上验证出完整的远程代码执行链,VLC 等其他依赖 FFmpeg 处理视频的软件理论上同样存在风险,但未被正式测试证实,Plex 因采用自带精简解码器列表的定制版 FFmpeg 未受影响,官方已在 6 月 17 日发布的 8.1.2 版本中修复,建议受影响的用户尽快升级
来源: https://nvd.nist.gov/vuln/detail/CVE-2026-8461
CVE-2026-8461(研究人员命名为 PixelSmash)是 FFmpeg 的 libavcodec 库中 MagicYUV 解码器的堆越界写入漏洞,CVSS 评分 8.8(高危,JFrog 评定),影响 8.1.2 之前的所有版本,只要让目标处理一个特制的 AVI、MKV 或 MOV 视频文件即可触发,轻则导致程序崩溃,在 ASLR 被关闭或配合其他漏洞绕过该保护的情况下还可实现远程代码执行;JFrog 实测确认 Kodi、mpv、ffmpegthumbnailer(GNOME/KDE/XFCE 缩略图功能所依赖)、Jellyfin、Emby、Nextcloud、Immich、PhotoPrism、OBS Studio 会因此崩溃,并在 Jellyfin 上验证出完整的远程代码执行链,VLC 等其他依赖 FFmpeg 处理视频的软件理论上同样存在风险,但未被正式测试证实,Plex 因采用自带精简解码器列表的定制版 FFmpeg 未受影响,官方已在 6 月 17 日发布的 8.1.2 版本中修复,建议受影响的用户尽快升级
来源: https://nvd.nist.gov/vuln/detail/CVE-2026-8461
