Vulnerabilidade PixelSmash no FFmpeg pode causar RCE e DoS

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Uma nova vulnerabilidade no FFmpeg, chamada ‘PixelSmash’, foi identificada e pode ser explorada para execução remota de código (RCE) em servidores Jellyfin, além de provocar condições de negação de serviço (DoS) em aplicações como Kodi, Emby, Nextcloud, PhotoPrism e OBS Studio. A falha, rastreada como CVE-2026-8461, é um erro de escrita fora dos limites da memória (heap out-of-bounds) no decodificador MagicYUV, recebendo uma pontuação de severidade alta, 8.8. A exploração é possível através de arquivos de vídeo maliciosos nos formatos AVI, MKV ou MOV. A vulnerabilidade se origina de inconsistências no processamento de ‘slices’ de vídeo, que podem ser ativadas ao abrir arquivos ou gerar miniaturas. A pesquisa da JFrog demonstrou que a exploração pode ocorrer em Jellyfin e Nextcloud, especialmente quando a proteção ASLR (Address Space Layout Randomization) está desativada. Embora a Plex tenha mitigado o risco com uma versão personalizada do FFmpeg, outras aplicações populares ainda estão vulneráveis. O FFmpeg lançou uma correção na versão 8.1.2, e Jellyfin também atualizou sua versão do FFmpeg. A vulnerabilidade apresenta um grande vetor de ataque, pois o decodificador MagicYUV é utilizado em muitos projetos que confiam no FFmpeg para lidar com entradas não confiáveis.

Fonte: https://www.bleepingcomputer.com/news/security/ffmpeg-fixes-pixelsmash-flaw-in-widely-used-video-decoder/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
22/06/2026 • Risco: ALTO
VULNERABILIDADE

Vulnerabilidade 'PixelSmash' no FFmpeg pode causar RCE e DoS

RESUMO EXECUTIVO
A vulnerabilidade PixelSmash no FFmpeg pode levar à execução remota de código em servidores Jellyfin e outras aplicações, exigindo atenção imediata dos CISOs para evitar compromissos de segurança e conformidade.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a interrupções de serviço e exploração de dados.
Operacional
Possibilidade de execução remota de código e negação de serviço.
Setores vulneráveis
['Tecnologia da Informação', 'Entretenimento Digital', 'Comunicações']

📊 INDICADORES CHAVE

Pontuação de severidade 8.8 para CVE-2026-8461. Indicador
Impacto em múltiplas aplicações populares. Contexto BR
Risco de exploração em centenas de projetos. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se as versões do FFmpeg estão atualizadas em todos os sistemas.
2 Aplicar o patch disponível na versão 8.1.2 do FFmpeg.
3 Monitorar logs de acesso e tentativas de exploração em servidores de mídia.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a vulnerabilidade devido ao potencial de exploração em servidores de mídia amplamente utilizados, que podem comprometer dados sensíveis.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
patch_disponivel
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).