El equipo de seguridad de JFrog ha divulgado CVE-2026-8461 (CVSS 8.8), una escritura fuera de límites en montículo en el decodificador MagicYUV de FFmpeg, la librería multimedia que sustenta media plataforma de streaming, videovigilancia y gestión de contenido del planeta. La bautizan PixelSmash.

Resumen ejecutivo

Campo Valor
Identificador CVE-2026-8461
CVSS 8.8 (Alta)
Tipo Escritura fuera de límites (heap OOB write)
Componente Decodificador MagicYUV de FFmpeg
Contenedores vector AVI, MKV, MOV
Impacto RCE (Jellyfin) / DoS (múltiples apps)
Corregido en FFmpeg 8.1.2 (17 jun 2026)
Descubierto por JFrog Security Research

Del decodificador al RCE

El fallo se desencadena al procesar un fichero de vídeo manipulado (en contenedores AVI, MKV o MOV) que contiene un flujo MagicYUV diseñado para provocar la escritura fuera de límites. En Jellyfin 10.11.9, JFrog demostró una cadena de ejecución remota de código:

  1. El servidor invoca ffprobe al escanear la biblioteca multimedia.
  2. La escritura fuera de límites corrompe estructuras internas de memoria.
  3. Encadenando la liberación de un AVBuffer (AVBuffer.free) controlado, se desvía el flujo hacia una llamada a system().

La explotación fiable de RCE requiere condiciones favorables (por ejemplo, ASLR deshabilitado o encadenar una fuga de información para derrotar la aleatorización). Aun así, el impacto en disponibilidad es amplio e inmediato.

Aplicaciones impactadas

Aplicación Impacto
Jellyfin RCE al escanear la biblioteca
Kodi, Emby Denegación de servicio
Nextcloud, PhotoPrism DoS al procesar el fichero
OBS y otras que empaquetan FFmpeg DoS / corrupción

El vector silencioso: el escaneo automático

Lo peligroso de PixelSmash es que no requiere que la víctima reproduzca nada. Basta con que el fichero malicioso llegue a una carpeta vigilada y el servidor lo indexe automáticamente —algo que servidores multimedia y de fotos hacen de forma continua—. En entornos donde los usuarios pueden subir contenido, el riesgo se dispara: un único fichero subido puede tumbar el servicio o, en el peor caso, ejecutar código.

Indicadores y caza

  • Procesos hijo inesperados originados por ffmpeg o ffprobe (shells, intérpretes, conexiones de red).
  • Caídas o reinicios repetidos del servicio multimedia tras procesar contenido recién añadido.
  • Desviaciones del árbol de procesos habitual del servidor de medios.
  • Ficheros multimedia con cabeceras MagicYUV anómalas en carpetas de ingesta.

Mitigación y respuesta

  1. Actualizar FFmpeg a 8.1.2 (17 de junio) o posterior.
  2. Actualizar las aplicaciones que empaquetan su propia copia de FFmpeg en cuanto incorporen el parche (no basta con el FFmpeg del sistema).
  3. Restringir quién puede depositar ficheros en las carpetas que el servidor escanea automáticamente.
  4. Ejecutar los servicios de transcodificación con privilegios mínimos y aislamiento (contenedores, usuarios dedicados, seccomp).
  5. Si se permite subida de contenido por usuarios no confiables, considerar deshabilitar el escaneo automático hasta parchear.

Cobertura en DefensOps

PixelSmash demuestra cómo una dependencia ubicua se convierte en superficie de ataque masiva. DefensOps vigila el comportamiento de los servicios multimedia: procesos hijo inesperados originados por ffmpeg/ffprobe (T1203/T1059), caídas o reinicios repetidos tras procesar contenido subido (T1499) y desviaciones del árbol de procesos, desde el plan Essential.

Fuentes

Investigación de JFrog Security Research; BleepingComputer; SecurityWeek; aviso de FFmpeg.

Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.