开源多媒体框架 FFmpeg 被曝高危漏洞：编解码恶意视频可致系统被黑客控制，官方已修复

6 月 23 日消息，据外媒 Cybernews 今天报道，开源多媒体框架 FFmpeg 最近被曝出严重安全漏洞，黑客只需要利用恶意视频文件，就能导致系统崩溃并失去控制，进而远程执行恶意代码。

据报道，这组漏洞目前已被编号为 CVE-2026-8461，评分 8.8/10。黑客可利用 MagicYUV 中的“堆缓冲区越界写入（heap out-of-bounds write）”漏洞，篡改视频入侵系统。

同时，黑客甚至不需要用户主动打开视频文件就能入侵，因为大多数 NAS 系统、下载软件或视频软件会在 BT 种子下载完成后，自动扫描视频或生成预览图，这时就能在后台静默触发漏洞。

研究人员 JFrog 指出，这项漏洞已经影响 Kodi、OBS Studio、Jellyfin、mpv、PhotoPrism 等软件，其中 Jellyfin 已经可以远程执行代码。

目前，FFmpeg 已经发布紧急修复版本 8.1.2。研究人员建议用户和开发者尽快升级最新版本，如果不需要 MagicYUV 解码器可以在编译时禁用。

注：FFmpeg 是全球应用最广泛的多媒体框架，被大部分操作系统的应用程序使用，并嵌入在安防摄像头、智能电视、NAS 等设备的操作系统中。