一组在 FFmpeg 中发现的安全漏洞,其编号为 CVE-2026-8461,被评定为 8.8/10 的高危级别。这些漏洞与 MagicYUV 组件中的“堆缓冲区越界写入”缺陷有关,可能被恶意利用来操纵视频内容并渗透系统。
值得注意的是,攻击者无需用户交互即可利用此漏洞,因为许多网络附加存储 (NAS) 设备、下载工具以及视频播放软件在完成文件下载后,会自动扫描视频文件或生成预览,这足以在后台触发漏洞。
根据 JFrog 研究人员的发现,Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等多种软件均受到此次漏洞的影响。其中,Jellyfin 已被确认可被用于远程代码执行。
FFmpeg 方面已紧急发布了 8.1.2 版本进行修复。研究人员强烈建议所有用户和开发者立即更新至最新版本。另外,如果 MagicYUV 解码器不是必需的,可以在编译 FFmpeg 时选择禁用。
FFmpeg 作为一款极其普及的多媒体处理库,被广泛集成到各类操作系统应用中,并成为安防摄像头、智能电视以及 NAS 等设备操作系统的关键组成部分。