Uma falha recém-divulgada no FFmpeg, batizada de PixelSmash, pode ser explorada para execução remota de código em servidores Jellyfin sob determinadas condições e também pode provocar uma condição de negação de serviço em aplicativos como Kodi, Emby, Nextcloud, PhotoPrism e OBS Studio.
A vulnerabilidade é identificada como
CVE-2026-8461
e consiste em uma gravação fora dos limites da memória heap no decodificador MagicYUV.
Ela recebeu pontuação 8,8, considerada alta, e pode ser acionada por meio de um arquivo de vídeo malicioso nos formatos AVI, MKV ou MOV.
Qualquer aplicativo que use a libavcodec, biblioteca central do FFmpeg para codificação e decodificação de vídeo, é considerado vulnerável.
No entanto, a exploração para execução remota de código, ou RCE, só é possível se a proteção Address Space Layout Randomization, ou ASLR, estiver desativada, ou se outra vulnerabilidade for combinada para contornar essa defesa.
Pesquisadores da JFrog, empresa especializada em segurança de supply chain, afirmam que o PixelSmash decorre da forma como o MagicYUV processa slices, regiões independentes de um quadro de vídeo que podem ser decodificadas separadamente do restante da imagem.
“A vulnerabilidade é um overflow de buffer na heap de uma linha no tratamento de slices do decodificador MagicYUV, causado por uma inconsistência entre a forma como o alocador de quadros e o decodificador calculam a altura dos planos de croma”, explicou a JFrog.
O PixelSmash pode ser acionado quando o usuário abre arquivos de vídeo AVI, MKV ou MOV, navega por um diretório que contenha o arquivo, por meio da geração de miniaturas, ou executa qualquer fluxo automatizado de ingestão de mídia.
A JFrog descobriu que vários aplicativos populares de mídia, como Kodi, OBS Studio, PhotoPrism e os geradores de miniaturas do GNOME, KDE e XFCE, usam o FFmpeg com o decodificador MagicYUV habilitado, o que os torna vulneráveis aos ataques PixelSmash.
Slack, Discord, Telegram e WhatsApp também podem estar suscetíveis a ataques PixelSmash, já que usam o FFmpeg para gerar prévias de vídeo no lado do servidor, mas não foram testados.
O pesquisador líder da JFrog, Yuval Moravchick, demonstrou que o PixelSmash pode ser usado para execução remota de código em instâncias do Jellyfin e do Nextcloud com o recurso de prévia de vídeos ativado.
“Para demonstrar o impacto no mundo real, conseguimos executar código remotamente com sucesso contra um servidor de mídia Jellyfin 10.11.9, o segundo servidor de mídia autohospedado mais popular, atrás do Plex, por meio de seu fluxo normal de varredura da biblioteca de mídia”, afirmou a JFrog.
“Caminho do ataque: download de um AVI MagicYUV adulterado para a biblioteca de mídia -> o Jellyfin aciona automaticamente o ffprobe para extração de metadados -> a gravação fora dos limites é disparada -> AVBuffer.free é redirecionado para system() -> um comando arbitrário é executado com o usuário do serviço jellyfin.”
Moravchick observou, porém, que o exploit de RCE exige que o ASLR esteja desativado e que a
CVE-2026-8461
, sozinha, não contorna essa proteção de memória.
Em teoria, um bug separado de divulgação de informações no decodificador FlashSV do FFmpeg poderia ser combinado com o PixelSmash para burlar o ASLR.
Outro cenário de ataque envolve downloads de torrent e não exige interação do usuário.
Os pesquisadores afirmam que um atacante poderia semear um vídeo malicioso para atingir usuários do Jellyfin que direcionem o download para a pasta da biblioteca de mídia do aplicativo.
“O monitor de sistema de arquivos em tempo real do Jellyfin detecta o novo arquivo e aciona automaticamente uma varredura de metadados com ffprobe.
O exploit é disparado durante a análise, o AVBuffer.free é redirecionado para system() e o comando de reverse shell do invasor é executado com o usuário do serviço jellyfin.”
Mesmo quando a execução remota de código é impedida ou impossível, a vulnerabilidade
CVE-2026-8461
deve ser suficiente para provocar de forma confiável uma condição de negação de serviço em alvos vulneráveis.
Os pesquisadores identificaram que o Plex, muito popular entre os servidores de mídia, usa uma versão personalizada do FFmpeg em que os decodificadores estão desativados e há uma lista de permissões mínima, o que reduz efetivamente o risco do PixelSmash.
Além do lançamento do FFmpeg 8.1.2, que corrige a falha, o Jellyfin também atualizou a versão do FFmpeg embutida no produto, e o PhotoPrism trabalha para adicionar uma lista de bloqueio de formatos de arquivo para evitar possíveis explorações.
A equipe do Nextcloud recebeu o relatório via HackerOne, mas decidiu não tratar a falha porque ela está fora do escopo do Nextcloud.
A JFrog descobriu o PixelSmash, identificado como
CVE-2026-8461
, e o reportou à equipe de segurança do FFmpeg em 13 de maio.
O desenvolvedor corrigiu o problema na versão 8.1.2, lançada em 17 de junho.
Os pesquisadores alertam que o PixelSmash tem uma superfície de ataque enorme porque o decodificador MagicYUV está presente em centenas de projetos que “confiam no FFmpeg para lidar com entradas não confiáveis com segurança”, transformando a vulnerabilidade em um problema de supply chain.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...