Nach Angaben von JFrog handelt es sich bei CVE-2026-8461 um einen Schreibzugriff außerhalb der reservierten Grenzen auf dem Heap in FFmpegs libavcodec-Bibliothek. Der Fehler sitzt im MagicYUV-Decoder und entsteht laut der Sicherheitsfirma durch eine Inkonsistenz dabei, wie der Frame-Allokator und der Decoder die Höhe der Chroma-Ebenen berechnen. Ausgenutzt werden kann dies, um Anwendungen zum Absturz zu bringen, die FFmpeg verwenden.

Für eine Codeausführung zielen Angreifer laut JFrog auf FFmpegs AVBuffer-Struktur. Dabei handelt es sich um ein referenzgezähltes Objekt zur Pufferverwaltung, das direkt hinter den Pixeldaten jeder Ebene im Speicher angelegt wird. Nach Darstellung von JFrog kann ein Angreifer eine mit NUL terminierte Shell-Anweisung an einem bestimmten Offset außerhalb des zulässigen Bereichs platzieren und so eine Shell-Ausführung erreichen, bevor der FFmpeg-Prozess durch nachfolgende Heap-Beschädigung abstürzt.

Der Angriffsweg ist dabei breit: Auf Desktop-Systemen wird die Schwachstelle ausgelöst, wenn ein Nutzer die präparierte Datei in einem Videoplayer öffnet. Sie kann aber auch schon dann greifen, wenn lediglich ein Ordner mit der Datei angezeigt wird — vorausgesetzt, der Vorschaubild-Generator des Dateimanagers nutzt die verwundbare Bibliothek. JFrog nennt hier ausdrücklich Linux-Dateimanager als Einsatzfeld von FFmpeg.

Auf Servern genügt es JFrog zufolge, die Mediendatei auf einen Medienserver, eine Chat-Plattform oder einen Cloud-Transkodierungsdienst hochzuladen, sofern dieser die Datei automatisch verarbeitet. Auch NAS-Appliances, Medien-Appliances und Smart-TVs seien angreifbar, wenn sie Video-Thumbnails oder Vorschauen erzeugen. Besondere Rechte, Authentifizierung oder vorheriger Zugriff auf das Zielsystem seien dafür nicht nötig; erforderlich sei lediglich die Möglichkeit, eine Mediendatei zuzustellen.

Als Nutzlast reicht laut JFrog eine 50 Kilobyte große AVI-, MKV- oder MOV-Datei. Die Sicherheitsfirma beschreibt zudem einen Null-Klick-Angriff über Torrents: Lädt ein Torrent-Client Mediendateien direkt in einen überwachten Medienbibliotheksordner, kann die automatische Bibliothekssuche die Nutzlast sofort nach Abschluss des Downloads ausführen.

Auch bei Nextcloud sieht JFrog einen Angriffsweg. Die selbst gehostete Cloud-Speicherplattform nutzt einen unabhängigen FFmpeg-Build; auslösbar sei die Schwachstelle dort über den optionalen Movie preview provider, der die systemweite FFmpeg-Binärdatei zum Erzeugen von Vorschaubildern aufruft. Der Angreifer müsse laut JFrog nur dafür sorgen, dass die Datei in einer Ordneransicht sichtbar ist; die serverseitige Verarbeitung übernehme den Rest, was den Vektor zu einem nahezu Null-Klick-Angriff mache.

JFrog gibt an, eine erfolgreiche Ausnutzung gegen Kodi, mpv, ffmpegthumbnailer, Jellyfin, Emby, Nextcloud, Immich, PhotoPrism und OBS Studio bestätigt zu haben. ffmpegthumbnailer werde unter anderem von GNOME, KDE und XFCE verwendet. Gegen Jellyfin habe das Unternehmen zudem eine erfolgreiche Remote-Code-Ausführung demonstriert.

Behoben ist „PixelSmash“ in FFmpeg 8.1.2. JFrog rät Nutzern, so schnell wie möglich auf diese Version zu aktualisieren.