CVE-2026-8461 "PixelSmash":FFmpeg MagicYUV 严重漏洞可导致零交互远程代码执行——立即更新至 8.1.2

安全公司 JFrog 披露了 FFmpeg 的 MagicYUV 无损视频编解码器解码器中存在一个严重的堆越界写入漏洞,编号为 CVE-2026-8461,CVSS 评分为 8.8。FFmpeg 已发布 8.1.2 版本并提供了补丁;作为临时解决方案,可以在构建时禁用 MagicYUV 解码器。根本原因是舍入不匹配:在处理奇数高度切片的视频帧时,解码器分配的缓冲区过小,导致每行最多有 640 字节的溢出写入到 FFmpeg 自身的 AVBuffer 结构体中——该结构体包含一个清理函数指针。攻击者可覆写该指针以重定向执行流程,在无需身份验证或提权的情况下实现完整的代码执行。JFrog 通过 Jellyfin 10.11.9 媒体服务器的正常库扫描流程演示了该漏洞利用,成功弹出 shell,同时还通过 Nextcloud 的电影预览缩略图生成器实现了入侵。

该漏洞的影响范围极为广泛。FFmpeg 的 libavcodec 作为几乎所有处理视频的应用程序的传递依赖项一同发布,并且 MagicYUV 解码器在所有上游构建中默认启用。已确认会崩溃的目标包括 Kodi、mpv、ffmpegthumbnailer(GNOME、KDE 和 XFCE 均使用)、Emby、Immich、PhotoPrism 和 OBS Studio;已演示在 Jellyfin 和 Nextcloud 上实现完整远程代码执行。在桌面上,仅需浏览包含恶意视频文件的文件夹就足以触发漏洞——文件管理器的缩略图生成器会触发该缺陷,而无需打开文件。在服务器上,上传精心构造的 AVI、MKV 或 MOV 文件到媒体平台或云转码服务将触发自动处理。JFrog 指出,该漏洞利用完全静默:不显示任何错误,产生的崩溃记录在通常无人监控的服务器日志中。该漏洞同样影响使用 FFmpeg 进行媒体摄入的 AI 框架和 GPU 加速数据管道。

Cybernews | JFrog