400-011-2158
一个名为 CVE-2026-8461 的高危安全漏洞(评分为 8.8/10)已被发现存在于开源多媒体处理工具 FFmpeg 中。该漏洞源于 MagicYUV 解码器中的“堆缓冲区越界写入”缺陷,黑客可以借此机会通过操纵视频文件来渗透和控制目标系统。
值得注意的是,此次漏洞的利用无需用户直接开启视频文件。许多网络附加存储(NAS)设备、下载客户端以及视频播放软件,在完成 BT 种子下载后,会自动扫描视频内容或生成预览图像。在此过程中,该漏洞便可能在后台被静默触发,从而实现系统入侵。
根据研究机构 JFrog 的披露,Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等众多知名软件均受到了此漏洞的影响。其中,Jellyfin 软件已确认存在远程代码执行的能力。
FFmpeg 官方已紧急发布了 8.1.2 版本以修复此安全隐患。研究人员强烈建议所有用户及开发者立即更新至最新版本。此外,如果 MagicYUV 解码器并非必需,用户也可在编译 FFmpeg 时选择将其禁用。FFmpeg 作为全球应用最广泛的多媒体框架,其重要性不言而喻,它被集成在众多操作系统应用以及安防摄像头、智能电视、NAS 等硬件设备的系统之中,其安全性直接关系到广泛的数字生态,甚至影响到如足球世界杯等大型活动的转播技术。
