0xBlackash/CVE-2026-8461

## 📖 概述 **CVE-2026-8461** 是在 **FFmpeg 的 `libavcodec` MagicYUV 解码器**中发现的一个 **高危** 漏洞。 该漏洞是由于在帧解码期间未正确验证边界导致的，使得特制的媒体文件可以写入超出已分配内存的区域。 自动处理上传或下载视频的应用程序可能会受到影响，且无需用户交互。 ## ⚡ 漏洞信息 | 字段 | 值 | |-------|-------| | CVE | **CVE-2026-8461** | | 代号 | **PixelSmash** | | 严重性 | 🔴 高 | | CVSS | **8.8** | | CWE | CWE-787 (越界写入) | | 组件 | `libavcodec` | | 编解码器 | MagicYUV | | 攻击向量 | 特制媒体文件 | | 用户交互 | 需要（打开/处理媒体） | | 影响 | 崩溃 / 内存损坏 / 潜在的 RCE | # 🧠 根本原因 MagicYUV 解码器在解码特制帧时，未能正确验证某些维度和内存边界。 这使得可以写入预期 heap 缓冲区之外的区域，从而破坏相邻的内存结构。 内存损坏可能导致： - 进程崩溃 - Heap 损坏 - 拒绝服务 - 潜在的远程代码执行 # 💥 攻击场景 ``` Attacker │ │ Uploads malicious MagicYUV video ▼ Media Server / Desktop Application │ │ FFmpeg parses file ▼ MagicYUV Decoder │ │ Out-of-Bounds Write ▼ Memory Corruption │ ├── Application Crash ├── Service Disruption └── Potential Remote Code Execution ``` # 🎯 可能受影响的软件 嵌入了 FFmpeg 的应用程序可能会受到影响，包括： - Jellyfin - Nextcloud - mpv - Kodi - OBS Studio - ffmpegthumbnailer - 媒体索引服务 - 视频转码 pipeline - 自动缩略图生成器 # 🔥 可能的影响 - 💣 应用程序崩溃 - 💣 Heap 损坏 - 💣 拒绝服务 - 💣 远程代码执行（在特定条件下） - 💣 媒体处理服务器被攻陷 - 💣 针对自动化工作流的恶意上传 # 🛡️ 缓解措施 ✅ 升级至 **FFmpeg 8.1.2 或更高版本** ✅ 拒绝不受信任的上传 ✅ 对媒体处理进行沙盒隔离 ✅ 隔离转码服务 ✅ 尽可能禁用对不受信任内容的自动预览生成 ✅ 及时应用供应商的安全更新 # 🔍 检测 安全团队应监控以下情况： - 意外的 FFmpeg 崩溃 - 段错误 - Heap 损坏报告 - 可疑的 MagicYUV 媒体上传 - 反复出现的解码失败 - 自动缩略图生成失败 # 📊 风险评估 | 类别 | 评级 | |----------|---------| | 严重性 | 🔴 高 | | 可利用性 | 高 | | 攻击复杂度 | 低 | | 所需权限 | 无 | | 机密性 | 高 | | 完整性 | 高 | | 可用性 | 高 | # 📦 已修复版本 | 产品 | 已修复版本 | |----------|---------------| | FFmpeg | **8.1.2+** | # 📚 参考 - NVD 公告 - FFmpeg 安全公告 - JFrog 安全研究 (PixelSmash)

标签：C/C++, FFmpeg, 事务性I/O, 内存安全, 漏洞分析, 漏洞复现, 路径探测