开源多媒体处理工具 FFmpeg 近期爆出严重安全漏洞，编号为 CVE-2026-8461，其评分为 8.8/10。该漏洞源于 MagicYUV 组件中的“堆缓冲区越界写入”问题，黑客能够借此操纵视频内容，进而控制目标系统。

值得注意的是，攻击者无需用户手动开启视频文件即可成功入侵。这是因为许多网络附加存储（NAS）设备、下载工具以及各类视频应用在 BT 文件下载完成后，会自动检测视频文件或生成缩略图，这一过程便可能在后台默默触发该漏洞。

安全研究机构 JFrog 披露，Kodi、OBS Studio、Jellyfin、mpv、PhotoPrism 等众多软件均受到此漏洞影响。其中，Jellyfin 软件已确认可被利用进行远程代码执行。

FFmpeg 已迅速推出紧急更新版本 8.1.2 来修复此问题。研究人员强烈建议用户及开发者立即更新至最新版本。对于不使用 MagicYUV 解码器的用户，也可以选择在编译 FFmpeg 时将其禁用。

FFmpeg 作为全球应用最广泛的多媒体框架，被众多操作系统的应用程序采用，并集成在安防摄像头、智能电视、NAS 等设备的操作系统中。