CVE-2026-8461 PixelSmash : RCE critique dans FFmpeg via le décodeur MagicYUV
🗓️ Contexte Publié le 23 juin 2026 par SecurityWeek (auteur : Ionut Arghire), cet article rapporte la divulgation par JFrog d’une vulnérabilité critique dans FFmpeg, le framework de traitement multimédia le plus utilisé au monde, présent dans la quasi-totalité des applications de traitement vidéo. 🔍 Détails techniques de la vulnérabilité CVE : CVE-2026-8461 (CVSS 8.8) Nom : PixelSmash Type : Heap out-of-bounds write Composant affecté : bibliothèque libavcodec de FFmpeg, dans le décodeur MagicYUV Cause : inconsistance entre le calcul des hauteurs de plan chroma par l’allocateur de frames et le décodeur Mécanisme d’exploitation : placement d’une commande shell NUL-terminée à un offset hors-limites spécifique, ciblant la structure AVBuffer (objet de gestion de buffer à comptage de références), permettant l’exécution shell avant le crash du processus FFmpeg 🎯 Vecteurs d’exploitation Desktop : ouverture d’un fichier malveillant dans un lecteur vidéo, ou navigation dans un dossier contenant le fichier si le gestionnaire de fichiers génère des miniatures Serveur : upload d’un fichier média vers un serveur média, plateforme de chat ou service de transcodage cloud qui traite automatiquement le fichier NAS / appliances / smart TV : génération de miniatures ou aperçus vidéo Torrents (zero-click) : si le client torrent télécharge directement dans un dossier surveillé par une bibliothèque média, le scan automatique déclenche le payload Nextcloud : via le fournisseur optionnel Movie preview qui invoque le binaire FFmpeg système pour générer des miniatures 📦 Format du payload Fichier de 50 Ko au format AVI, MKV ou MOV Aucune authentification, privilège ou accès préalable requis ✅ Applications confirmées comme vulnérables Kodi, mpv, ffmpegthumbnailer (GNOME, KDE, XFCE) Jellyfin, Emby, Nextcloud, Immich, PhotoPrism, OBS Studio RCE démontré contre Jellyfin 🛠️ Correctif FFmpeg version 8.1.2 contient le correctif pour PixelSmash. ...