🗓️ Contexte

Publié le 23 juin 2026 par SecurityWeek (auteur : Ionut Arghire), cet article rapporte la divulgation par JFrog d’une vulnérabilité critique dans FFmpeg, le framework de traitement multimédia le plus utilisé au monde, présent dans la quasi-totalité des applications de traitement vidéo.

🔍 Détails techniques de la vulnérabilité

  • CVE : CVE-2026-8461 (CVSS 8.8)
  • Nom : PixelSmash
  • Type : Heap out-of-bounds write
  • Composant affecté : bibliothèque libavcodec de FFmpeg, dans le décodeur MagicYUV
  • Cause : inconsistance entre le calcul des hauteurs de plan chroma par l’allocateur de frames et le décodeur
  • Mécanisme d’exploitation : placement d’une commande shell NUL-terminée à un offset hors-limites spécifique, ciblant la structure AVBuffer (objet de gestion de buffer à comptage de références), permettant l’exécution shell avant le crash du processus FFmpeg

🎯 Vecteurs d’exploitation

  • Desktop : ouverture d’un fichier malveillant dans un lecteur vidéo, ou navigation dans un dossier contenant le fichier si le gestionnaire de fichiers génère des miniatures
  • Serveur : upload d’un fichier média vers un serveur média, plateforme de chat ou service de transcodage cloud qui traite automatiquement le fichier
  • NAS / appliances / smart TV : génération de miniatures ou aperçus vidéo
  • Torrents (zero-click) : si le client torrent télécharge directement dans un dossier surveillé par une bibliothèque média, le scan automatique déclenche le payload
  • Nextcloud : via le fournisseur optionnel Movie preview qui invoque le binaire FFmpeg système pour générer des miniatures

📦 Format du payload

  • Fichier de 50 Ko au format AVI, MKV ou MOV
  • Aucune authentification, privilège ou accès préalable requis

✅ Applications confirmées comme vulnérables

  • Kodi, mpv, ffmpegthumbnailer (GNOME, KDE, XFCE)
  • Jellyfin, Emby, Nextcloud, Immich, PhotoPrism, OBS Studio
  • RCE démontré contre Jellyfin

🛠️ Correctif

FFmpeg version 8.1.2 contient le correctif pour PixelSmash.

📰 Nature de l’article

Article de presse spécialisée à visée informationnelle, rapportant la divulgation technique d’une vulnérabilité critique par JFrog, avec description du mécanisme d’exploitation et des applications affectées.

🧠 TTPs et IOCs détectés

TTP

  • T1203 — Exploitation for Client Execution (Execution)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)

IOC

🟢 Indice de vérification factuelle : 66/100 (haute)

  • ✅ securityweek.com — source reconnue (liste interne) (20pts)
  • ✅ 9244 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.securityweek.com/ffmpeg-pixelsmash-flaw-allows-rce-on-video-players-media-servers-nas-appliances/