Blogs

一个重要的安全漏洞已在广泛使用的开源多媒体处理工具 FFmpeg 中被发现，该漏洞的编号为 CVE-2026-8461，严重程度评分为 8.8/10。攻击者可以利用 MagicYUV 组件中的“堆缓冲区越界写入”缺陷，通过特制的视频文件来控制用户系统。

值得注意的是，此次漏洞的利用无需用户直接打开视频文件。许多网络附加存储（NAS）设备、下载工具以及视频播放软件在完成 BT 种子下载后，会自行扫描视频文件或生成缩略图，这一过程可能在后台静默地触发漏洞。

根据 JFrog 研究人员的报告，Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等一系列软件都受到了该漏洞的影响。其中，Jellyfin 软件已确认存在远程代码执行的风险。

FFmpeg 方面已紧急发布了版本 8.1.2 进行修复。研究人员强烈建议所有用户和开发者立即更新至最新版本。若 MagicYUV 解码器并非必需，用户也可以在编译 FFmpeg 时选择禁用该组件。

FFmpeg 作为全球应用最广泛的多媒体框架，被众多操作系统的应用程序所采用，并且已集成到安防摄像头、智能电视以及 NAS 等设备的操作系统中。