セキュリティ企業JFrogは、FFmpegのMagicyUVロスレスビデオコーデックデコーダにおける重大なヒープ領域の範囲外書き込み脆弱性(CVE-2026-8461、CVSSスコア8.8)を公開しました。FFmpegはパッチを適用したバージョン8.1.2をリリースしており、回避策としてビルド時にMagicyUVデコーダを無効にすることができます。根本原因は丸め処理の不一致です。奇数番号のスライス高さを持つビデオフレームを処理する際、デコーダは書き込み先よりも小さなバッファを割り当て、1行あたり最大640バイトがFFmpegのAVBuffer構造体(クリーンアップ関数ポインタを含むデータ構造)にまでオーバーフローします。攻撃者はそのポインタを上書きして実行をリダイレクトし、認証や昇格された権限なしで完全なコード実行を達成します。JFrogは、Jellyfin 10.11.11のメディアサーバ上で通常のライブラリスキャンパイプラインを介してシェルを起動することでこのエクスプロイトを実証し、Nextcloudの動画プレビューサムネイルジェネレータを介した侵害も達成しました。
この脆弱性の影響範囲は極めて広範囲に及びます。FFmpegのlibavcodecは、事実上すべてのビデオを扱うアプリケーションに推移的依存関係として組み込まれており、MagicyUVデコーダはすべてのアップストリームビルドでデフォルトで有効になっています。クラッシュが確認された対象にはKodi、mpv、ffmpegthumbnailer(GNOME、KDE、XFCEで使用)、Emby、Immich、PhotoPrism、OBS Studioが含まれます。フルRCEはJellyfinとNextcloudに対して実証されました。デスクトップでは、悪意のあるビデオファイルを含むフォルダを参照するだけで十分です。ファイルマネージャのサムネイルジェネレータがこの欠陥をトリガーし、ファイルが開かれることはありません。サーバ上では、細工されたAVI、MKV、またはMOVファイルをメディアプラットフォームやクラウドトランスコーディングサービスにアップロードすると、自動処理がトリガーされます。JFrogは、このエクスプロイトは完全に隠密に行われると指摘しています。エラーは表示されず、結果として生じるクラッシュは通常監視されないサーバーサイドのログに埋もれます。この脆弱性は、メディア取り込みにFFmpegを使用するAIフレームワークやGPUアクセラレーションデータパイプラインにも及びます。