https://brdefense.center/tags/pixelsmash/Recent content in Pixelsmash on BR Defense CenterHugopt-brMon, 22 Jun 2026 20:08:36 -0300https://brdefense.center/news/vulnerabilidade-pixelsmash-no-ffmpeg-pode-causar-r/Mon, 22 Jun 2026 20:08:36 -0300https://brdefense.center/news/vulnerabilidade-pixelsmash-no-ffmpeg-pode-causar-r/<p>Uma nova vulnerabilidade no FFmpeg, chamada &lsquo;PixelSmash&rsquo;, foi identificada e pode ser explorada para execução remota de código (RCE) em servidores Jellyfin, além de provocar condições de negação de serviço (DoS) em aplicações como Kodi, Emby, Nextcloud, PhotoPrism e OBS Studio. A falha, rastreada como CVE-2026-8461, é um erro de escrita fora dos limites da memória (heap out-of-bounds) no decodificador MagicYUV, recebendo uma pontuação de severidade alta, 8.8. A exploração é possível através de arquivos de vídeo maliciosos nos formatos AVI, MKV ou MOV. A vulnerabilidade se origina de inconsistências no processamento de &lsquo;slices&rsquo; de vídeo, que podem ser ativadas ao abrir arquivos ou gerar miniaturas. A pesquisa da JFrog demonstrou que a exploração pode ocorrer em Jellyfin e Nextcloud, especialmente quando a proteção ASLR (Address Space Layout Randomization) está desativada. Embora a Plex tenha mitigado o risco com uma versão personalizada do FFmpeg, outras aplicações populares ainda estão vulneráveis. O FFmpeg lançou uma correção na versão 8.1.2, e Jellyfin também atualizou sua versão do FFmpeg. A vulnerabilidade apresenta um grande vetor de ataque, pois o decodificador MagicYUV é utilizado em muitos projetos que confiam no FFmpeg para lidar com entradas não confiáveis.</p>