Uma vulnerabilidade de alta gravidade apelidada PixelSmash, rastreada como CVE-2026-8461, foi identificada no FFmpeg, framework multimídia open source usado globalmente. Descoberta pela JFrog em junho de 2026, a falha de gravação fora dos limites no decodificador MagicYUV permite executar código remoto por meio de arquivos de vídeo maliciosos em aplicativos como Jellyfin, Kodi e OBS Studio.
Como o PixelSmash funciona
A vulnerabilidade é uma gravação fora dos limites do heap no decodificador MagicYUV, parte da biblioteca libavcodec, núcleo do FFmpeg para codificação e decodificação de vídeo. Recebeu score CVSS de 8,8 e pode ser acionada por um arquivo de vídeo malicioso em formato AVI, MKV ou MOV.
Segundo os pesquisadores da JFrog, o PixelSmash surge da forma como o MagicYUV processa fatias — regiões independentes de um quadro de vídeo que podem ser decodificadas separadamente. A falha é causada por uma inconsistência entre a forma como o alocador de quadros e o decodificador calculam as alturas do plano de crominância, resultando em um estouro de buffer de heap de uma linha.
Quais aplicativos são afetados
Qualquer aplicação que use a libavcodec com o decodificador MagicYUV habilitado é considerada vulnerável. A JFrog identificou múltiplos softwares populares que atendem a esse critério. A falha pode ser disparada quando o usuário abre um arquivo de vídeo, navega por um diretório que contém o arquivo (por geração de miniaturas) ou executa qualquer fluxo automatizado de ingestão de mídia.
| Aplicação | Tipo de impacto |
|---|---|
| Jellyfin | Execução remota de código (demonstrada) |
| Nextcloud (Movie preview) | Execução remota de código (demonstrada) |
| Kodi | Negação de serviço / possível RCE |
| OBS Studio | Negação de serviço |
| PhotoPrism, Emby | Negação de serviço |
| Geradores de miniaturas (GNOME/KDE/XFCE) | Crash ao navegar pastas |
Plataformas como Slack, Discord, Telegram e WhatsApp também podem ser suscetíveis, pois utilizam o FFmpeg para gerar prévias de vídeo no servidor, embora não tenham sido testadas pela JFrog. Não é a primeira vez que o FFmpeg aparece no radar de segurança: em episódio anterior, uma ferramenta de IA descobriu 21 zero-days no FFmpeg, evidenciando a recorrência de falhas na estrutura multimídia.
Exploração demonstrada na prática
O pesquisador Yuval Moravchick, da JFrog, demonstrou a execução remota de código completa contra um servidor Jellyfin 10.11.9 — o segundo servidor de mídia self-hosted mais popular, atrás apenas do Plex. O caminho do ataque foi o seguinte: download de um arquivo MagicYUV AVI malicioso para a biblioteca de mídia, seguido pela execução automática do ffprobe para extrair metadados. A gravação fora dos limites dispara, o ponteiro AVBuffer.free é sequestrado para a função system() e um comando arbitrário é executado como usuário do serviço Jellyfin.
A ressalva é importante: o exploit de RCE exige que o ASLR (Address Space Layout Randomization) esteja desativado, ou o encadeamento com outra vulnerabilidade de divulgação de informações no FFmpeg para contornar essa proteção de memória.
Como corrigir e se proteger
O FFmpeg corrigiu a vulnerabilidade em seu repositório. Ações essenciais para administradores e desenvolvedores:
- Atualizar o FFmpeg e a
libavcodecpara a versão mais recente disponível no repositório oficial. - Desativar o decodificador MagicYUV (
-c:v magicyuv) em ambientes onde não é necessário, reduzindo a superfície de ataque. - Garantir que o ASLR esteja habilitado nos servidores de mídia, pois a proteção bloqueia o caminho de RCE demonstrado.
- Restringir uploads de mídia não confiável em servidores como Jellyfin e Nextcloud, especialmente em instâncias de acesso público.
- Monitorar logs de
ffprobee travamentos inesperados do serviço de mídia como sinais de exploração.