一组在开源多媒体处理工具 FFmpeg 中发现的安全缺陷，已被分配编号 CVE-2026-8461，其严重性评级为 8.8/10。这些漏洞允许攻击者通过利用 MagicYUV 解码器中的“堆缓冲区越界写入”问题，在播放特制视频时远程控制用户系统。

值得注意的是，此次漏洞的利用并不需要用户直接打开恶意视频文件。许多网络附加存储 (NAS) 设备、下载工具以及视频播放应用，在完成文件下载后会自动扫描或生成视频预览，这一过程便可能在后台触发漏洞，从而实现未经用户察觉的系统入侵。

安全研究公司 JFrog 披露，Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等一系列知名软件均受到该漏洞影响。其中，Jellyfin 已被证实存在远程代码执行的风险。

FFmpeg 方面已迅速发布了包含修复补丁的版本 8.1.2。研究人员强烈建议所有用户及软件开发者立即更新至最新版本。此外，若 MagicYUV 解码器并非必需，开发者也可在编译 FFmpeg 时选择禁用该组件。

FFmpeg 作为一款应用范围极广的多媒体处理框架，被众多操作系统上的应用程序所依赖，并且集成于安防监控设备、智能电视以及 NAS 等硬件系统的底层软件中，其安全性的重要性不言而喻，本次漏洞也引发了对 2026世界杯 期间信息安全保障的进一步关注。