Pixelsmash

Uma nova vulnerabilidade no FFmpeg, chamada ‘PixelSmash’, foi identificada e pode ser explorada para execução remota de código (RCE) em servidores Jellyfin, além de provocar condições de negação de serviço (DoS) em aplicações como Kodi, Emby, Nextcloud, PhotoPrism e OBS Studio. A falha, rastreada como CVE-2026-8461, é um erro de escrita fora dos limites da memória (heap out-of-bounds) no decodificador MagicYUV, recebendo uma pontuação de severidade alta, 8.8. A exploração é possível através de arquivos de vídeo maliciosos nos formatos AVI, MKV ou MOV. A vulnerabilidade se origina de inconsistências no processamento de ‘slices’ de vídeo, que podem ser ativadas ao abrir arquivos ou gerar miniaturas. A pesquisa da JFrog demonstrou que a exploração pode ocorrer em Jellyfin e Nextcloud, especialmente quando a proteção ASLR (Address Space Layout Randomization) está desativada. Embora a Plex tenha mitigado o risco com uma versão personalizada do FFmpeg, outras aplicações populares ainda estão vulneráveis. O FFmpeg lançou uma correção na versão 8.1.2, e Jellyfin também atualizou sua versão do FFmpeg. A vulnerabilidade apresenta um grande vetor de ataque, pois o decodificador MagicYUV é utilizado em muitos projetos que confiam no FFmpeg para lidar com entradas não confiáveis.