PixelSmash (CVE-2026-8461): un fallo en FFmpeg amenaza a Jellyfin, Kodi, Nextcloud y otros servidores multimedia
Resumen rápido
JFrog ha revelado una escritura fuera de límites en el decodificador MagicYUV de FFmpeg. Bautizada PixelSmash, permite RCE en Jellyfin al escanear una librería con un fichero malicioso, y denegación de servicio en numerosas aplicaciones que dependen de FFmpeg.
El equipo de seguridad de JFrog ha divulgado CVE-2026-8461 (CVSS 8.8), una escritura fuera de límites en montículo en el decodificador MagicYUV de FFmpeg, la librería multimedia que sustenta media plataforma de streaming, videovigilancia y gestión de contenido del planeta. La bautizan PixelSmash.
Resumen ejecutivo
| Campo | Valor |
|---|---|
| Identificador | CVE-2026-8461 |
| CVSS | 8.8 (Alta) |
| Tipo | Escritura fuera de límites (heap OOB write) |
| Componente | Decodificador MagicYUV de FFmpeg |
| Contenedores vector | AVI, MKV, MOV |
| Impacto | RCE (Jellyfin) / DoS (múltiples apps) |
| Corregido en | FFmpeg 8.1.2 (17 jun 2026) |
| Descubierto por | JFrog Security Research |
Del decodificador al RCE
El fallo se desencadena al procesar un fichero de vídeo manipulado (en contenedores AVI, MKV o MOV) que contiene un flujo MagicYUV diseñado para provocar la escritura fuera de límites. En Jellyfin 10.11.9, JFrog demostró una cadena de ejecución remota de código:
- El servidor invoca
ffprobeal escanear la biblioteca multimedia. - La escritura fuera de límites corrompe estructuras internas de memoria.
- Encadenando la liberación de un
AVBuffer(AVBuffer.free) controlado, se desvía el flujo hacia una llamada asystem().
La explotación fiable de RCE requiere condiciones favorables (por ejemplo, ASLR deshabilitado o encadenar una fuga de información para derrotar la aleatorización). Aun así, el impacto en disponibilidad es amplio e inmediato.
Aplicaciones impactadas
| Aplicación | Impacto |
|---|---|
| Jellyfin | RCE al escanear la biblioteca |
| Kodi, Emby | Denegación de servicio |
| Nextcloud, PhotoPrism | DoS al procesar el fichero |
| OBS y otras que empaquetan FFmpeg | DoS / corrupción |
El vector silencioso: el escaneo automático
Lo peligroso de PixelSmash es que no requiere que la víctima reproduzca nada. Basta con que el fichero malicioso llegue a una carpeta vigilada y el servidor lo indexe automáticamente —algo que servidores multimedia y de fotos hacen de forma continua—. En entornos donde los usuarios pueden subir contenido, el riesgo se dispara: un único fichero subido puede tumbar el servicio o, en el peor caso, ejecutar código.
Indicadores y caza
- Procesos hijo inesperados originados por
ffmpegoffprobe(shells, intérpretes, conexiones de red). - Caídas o reinicios repetidos del servicio multimedia tras procesar contenido recién añadido.
- Desviaciones del árbol de procesos habitual del servidor de medios.
- Ficheros multimedia con cabeceras MagicYUV anómalas en carpetas de ingesta.
Mitigación y respuesta
- Actualizar FFmpeg a 8.1.2 (17 de junio) o posterior.
- Actualizar las aplicaciones que empaquetan su propia copia de FFmpeg en cuanto incorporen el parche (no basta con el FFmpeg del sistema).
- Restringir quién puede depositar ficheros en las carpetas que el servidor escanea automáticamente.
- Ejecutar los servicios de transcodificación con privilegios mínimos y aislamiento (contenedores, usuarios dedicados, seccomp).
- Si se permite subida de contenido por usuarios no confiables, considerar deshabilitar el escaneo automático hasta parchear.
Cobertura en DefensOps
PixelSmash demuestra cómo una dependencia ubicua se convierte en superficie de ataque masiva. DefensOps vigila el comportamiento de los servicios multimedia: procesos hijo inesperados originados por ffmpeg/ffprobe (T1203/T1059), caídas o reinicios repetidos tras procesar contenido subido (T1499) y desviaciones del árbol de procesos, desde el plan Essential.
Fuentes
Investigación de JFrog Security Research; BleepingComputer; SecurityWeek; aviso de FFmpeg.
Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1203, T1190, T1059, T1499
- Corrupción de memoria en librería de decodificación multimedia · T1203 — Exploitation for Client Execution · regla 111760 · plan Essential
- Proceso hijo inesperado lanzado por servidor multimedia (ffprobe/ffmpeg) · T1059 — Command and Scripting Interpreter · regla 111766 · plan Essential
- Caída/reinicio repetido de servicio tras procesar fichero subido · T1499 — Endpoint Denial of Service · regla 111771 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.