PixelSmash: un file video di 50 KB può portare al crash server e dispositivi IoT con FFmpeg

La vulnerabilità PixelSmash nel decoder MagicYUV di FFmpeg, identificata come CVE-2026-8461, permette l'esecuzione remota del codice attraverso file video malevoli. Questa falla può essere sfruttata anche senza interazione diretta dell'utente, ad esempio tramite operazioni automatizzate sui server o anteprime generate automaticamente dai file manager. La patch è stata rilasciata nella versione FFmpeg 8.1.2.

I ricercatori di JFrog hanno individuato una vulnerabilità critica nel decoder MagicYUV di FFmpeg, identificata come CVE-2026-8461 con un punteggio CVSS di 8,8. Questa vulnerabilità, denominata PixelSmash, può causare crash nelle applicazioni basate su libavcodec e, in determinate condizioni, eseguire codice arbitrario su mediaserver come Jellyfin e Nextcloud.

La vulnerabilità rilevata dai ricercatori, è legata a un problema di out-of-bounds writing nel buffer heap durante la gestione dei frame video. Questo accade perché l’allocatore di frame e il decoder calcolano diversamente l’altezza delle plane cromatiche. Un file video appositamente preparato, di circa 50 KB nei formati AVI, MKV o MOV, può sfruttare questa falla.

PixelSmash non richiede solo l’apertura del video: è sufficiente navigare nella directory contenente il file malevolo se il file manager genera automaticamente le anteprime. Sui server, il  payload dannoso si attiva durante operazioni automatizzate come l’estrazione dei metadati o la creazione di miniature.

Tra i software vulnerabili figurano Kodi, mpv, Emby, Immich, PhotoPrism, OBS Studio e il generatore di anteprime ffmpegthumbnailer utilizzato da GNOME, KDE e XFCE. Anche NAS, smart TV, servizi cloud e altri prodotti che utilizzano libavcodec con MagicYUV abilitato sono a rischio.

Plex è immune a PixelSmash grazie all’uso di una propria build di FFmpeg con la maggior parte dei decoder disabilitati e un elenco restrittivo di formati supportati. Gli esperti hanno dimostrato l’esecuzione remota del codice utilizzando CVE-2026-8461 su Jellyfin 10.11.9, dove un file AVI malevolo inserito nella libreria media attivava automaticamente ffprobe per raccogliere i metadati, eseguendo il comando dannoso con gli stessi privilegi del processo Jellyfin.

L’attacco può avvenire senza interazione diretta tramite torrent: se un cliente salva i download direttamente nel catalogo multimediale, Jellyfin rileva il nuovo file e lo invia automaticamente per l’analisi. Tuttavia, l’exploit presentato richiede la disattivazione di ASLR poiché la vulnerabilità CVE-2026-8461 da sola non bypassa questa protezione.

JFrog ha segnalato la vulnerabilità agli sviluppatori di FFmpeg il 13 maggio 2026. La patch è stata inclusa nella versione FFmpeg 8.1.2, rilasciata il 17 giugno. 

Luigi Zullo

Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.

Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response