FFmpeg Corrige Vulnerabilidade RCE PixelSmash em Decodificador MagicYUV
Uma falha crítica de execução remota de código (RCE) no decodificador MagicYUV do FFmpeg, identificada como CVE-2026-8461, foi corrigida. A vulnerabilidade, apelidada de PixelSmash, pode ser explorada através de arquivos de mídia especialmente criados, afetando diversos softwares populares.
MundiX News·25 de junho de 2026·5 min de leitura·👁 1 views
Os desenvolvedores do FFmpeg lançaram uma correção para a vulnerabilidade PixelSmash, uma falha de segurança descoberta no decodificador MagicYUV. Um arquivo de vídeo especialmente preparado tem o potencial de causar uma falha em aplicações que utilizam a biblioteca libavcodec. Em cenários específicos, essa falha pode levar à execução remota de código arbitrário em servidores de mídia como Jellyfin e Nextcloud.
A vulnerabilidade, catalogada como CVE-2026-8461 e com uma pontuação CVSS de 8.8, foi detalhada por pesquisadores da JFrog. Ela se manifesta como um problema de escrita fora dos limites em um buffer na heap, relacionado ao processamento de 'slices' – regiões independentes de um quadro de vídeo que são decodificadas separadamente. A causa raiz reside na discrepância entre como o alocador de quadros e o decodificador calculavam a altura das planos de crominância.
Para explorar essa falha, é suficiente um arquivo de aproximadamente 50 KB em formatos como AVI, MKV ou MOV. A exploração não se limita apenas à abertura do arquivo de vídeo; em alguns casos, a vulnerabilidade pode ser acionada simplesmente ao navegar para um diretório contendo o arquivo malicioso, caso o gerenciador de arquivos gere pré-visualizações automaticamente. Em ambientes de servidor, a carga útil (payload) pode ser ativada durante operações automatizadas como extração de metadados ou criação de miniaturas.
Os especialistas alertaram que, antes da correção do PixelSmash, softwares como Kodi, mpv, Emby, Immich, PhotoPrism, OBS Studio e o gerador de pré-visualizações ffmpegthumbnailer (utilizado por ambientes de desktop como GNOME, KDE e XFCE) estavam vulneráveis. Além disso, dispositivos como NAS, smart TVs e serviços de nuvem que utilizam libavcodec com o decodificador MagicYUV ativado também podem estar em risco.
Curiosamente, o Plex demonstrou ser resiliente a essa vulnerabilidade. Isso se deve ao fato de que o Plex emprega uma compilação customizada do FFmpeg, na qual a maioria dos decodificadores está desativada, e um rigoroso controle de formatos permitidos é aplicado.
Os pesquisadores conseguiram demonstrar a execução remota de código de forma completa utilizando a CVE-2026-8461 no Jellyfin 10.11.9. Um arquivo AVI malicioso foi adicionado à biblioteca de mídia do servidor. Consequentemente, o servidor iniciou automaticamente o ffprobe para coletar metadados, o que resultou na execução do comando malicioso com os mesmos privilégios do processo do Jellyfin.
É enfatizado que ataques semelhantes podem ser realizados sem interação direta da vítima, por exemplo, através de downloads de torrents. Se um cliente salva downloads diretamente no diretório da biblioteca de mídia, o Jellyfin detecta o novo arquivo e o envia para análise automaticamente. No entanto, o exploit demonstrado pelos pesquisadores requer a desativação do ASLR (Address Space Layout Randomization), pois a vulnerabilidade CVE-2026-8461 por si só não oferece um mecanismo para contornar essa proteção.
Os analistas da JFrog notificaram os desenvolvedores do FFmpeg sobre a vulnerabilidade em 13 de maio de 2026. A correção foi incorporada à versão FFmpeg 8.1.2, lançada em 17 de junho.
Os desenvolvedores do Jellyfin já atualizaram a versão do FFmpeg integrada em seu produto. Representantes do PhotoPrism anunciaram que estão preparando uma lista de bloqueio para formatos perigosos. O Nextcloud optou por não lançar um patch separado, pois a falha reside em um componente de terceiros (FFmpeg).
Recomenda-se que usuários e administradores atualizem para o FFmpeg 8.1.2 o mais rápido possível. Os pesquisadores alertam que a superfície de ataque do PixelSmash é vasta, uma vez que o decodificador MagicYUV está presente em centenas de projetos que confiam no FFmpeg para o processamento seguro de arquivos não confiáveis.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Os desenvolvedores do FFmpeg lançaram uma correção para a vulnerabilidade PixelSmash, uma falha de segurança descoberta no decodificador MagicYUV. Um arquivo de vídeo especialmente preparado tem o potencial de causar uma falha em aplicações que utilizam a biblioteca libavcodec. Em cenários específicos, essa falha pode levar à execução remota de código arbitrário em servidores de mídia como Jellyfin e Nextcloud.
A vulnerabilidade, catalogada como CVE-2026-8461 e com uma pontuação CVSS de 8.8, foi detalhada por pesquisadores da JFrog. Ela se manifesta como um problema de escrita fora dos limites em um buffer na heap, relacionado ao processamento de 'slices' – regiões independentes de um quadro de vídeo que são decodificadas separadamente. A causa raiz reside na discrepância entre como o alocador de quadros e o decodificador calculavam a altura das planos de crominância.
Para explorar essa falha, é suficiente um arquivo de aproximadamente 50 KB em formatos como AVI, MKV ou MOV. A exploração não se limita apenas à abertura do arquivo de vídeo; em alguns casos, a vulnerabilidade pode ser acionada simplesmente ao navegar para um diretório contendo o arquivo malicioso, caso o gerenciador de arquivos gere pré-visualizações automaticamente. Em ambientes de servidor, a carga útil (payload) pode ser ativada durante operações automatizadas como extração de metadados ou criação de miniaturas.
Os especialistas alertaram que, antes da correção do PixelSmash, softwares como Kodi, mpv, Emby, Immich, PhotoPrism, OBS Studio e o gerador de pré-visualizações ffmpegthumbnailer (utilizado por ambientes de desktop como GNOME, KDE e XFCE) estavam vulneráveis. Além disso, dispositivos como NAS, smart TVs e serviços de nuvem que utilizam libavcodec com o decodificador MagicYUV ativado também podem estar em risco.
Curiosamente, o Plex demonstrou ser resiliente a essa vulnerabilidade. Isso se deve ao fato de que o Plex emprega uma compilação customizada do FFmpeg, na qual a maioria dos decodificadores está desativada, e um rigoroso controle de formatos permitidos é aplicado.
Os pesquisadores conseguiram demonstrar a execução remota de código de forma completa utilizando a CVE-2026-8461 no Jellyfin 10.11.9. Um arquivo AVI malicioso foi adicionado à biblioteca de mídia do servidor. Consequentemente, o servidor iniciou automaticamente o ffprobe para coletar metadados, o que resultou na execução do comando malicioso com os mesmos privilégios do processo do Jellyfin.
É enfatizado que ataques semelhantes podem ser realizados sem interação direta da vítima, por exemplo, através de downloads de torrents. Se um cliente salva downloads diretamente no diretório da biblioteca de mídia, o Jellyfin detecta o novo arquivo e o envia para análise automaticamente. No entanto, o exploit demonstrado pelos pesquisadores requer a desativação do ASLR (Address Space Layout Randomization), pois a vulnerabilidade CVE-2026-8461 por si só não oferece um mecanismo para contornar essa proteção.
Os analistas da JFrog notificaram os desenvolvedores do FFmpeg sobre a vulnerabilidade em 13 de maio de 2026. A correção foi incorporada à versão FFmpeg 8.1.2, lançada em 17 de junho.
Os desenvolvedores do Jellyfin já atualizaram a versão do FFmpeg integrada em seu produto. Representantes do PhotoPrism anunciaram que estão preparando uma lista de bloqueio para formatos perigosos. O Nextcloud optou por não lançar um patch separado, pois a falha reside em um componente de terceiros (FFmpeg).
Recomenda-se que usuários e administradores atualizem para o FFmpeg 8.1.2 o mais rápido possível. Os pesquisadores alertam que a superfície de ataque do PixelSmash é vasta, uma vez que o decodificador MagicYUV está presente em centenas de projetos que confiam no FFmpeg para o processamento seguro de arquivos não confiáveis.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
