全球广泛应用的开源多媒体框架 FFmpeg 近日被曝存在高危安全漏洞,该漏洞被编号为 CVE-2026-8461,安全评级达 8.8/10。攻击者可通过构造恶意视频文件,利用 MagicYUV 解码器中的“堆缓冲区越界写入”缺陷,实现远程代码执行或导致系统崩溃。这一漏洞的严重性在于,攻击者无需用户主动打开文件即可触发攻击——当 NAS 设备、下载工具或视频播放器自动扫描或生成预览时,漏洞即可在后台静默激活。
安全团队 JFrog 的研究显示,Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等知名软件均受此漏洞影响。其中,媒体服务器软件 Jellyfin 的漏洞利用已具备远程代码执行能力,可能被用于植入恶意程序或窃取数据。FFmpeg 作为全球数十亿设备的基础组件,被广泛嵌入智能电视、安防摄像头和 NAS 系统的操作系统中,进一步扩大了漏洞的潜在影响范围。
目前,FFmpeg 官方已紧急发布 8.1.2 版本修复该漏洞。安全专家建议用户和开发者立即升级至最新版本,若无需使用 MagicYUV 解码功能,可在编译时禁用相关模块以降低风险。此次事件再次凸显开源软件供应链安全的重要性,尤其是被大规模集成的核心组件,其漏洞可能引发连锁式安全危机。
