一项名为 CVE-2026-8461 的严重安全漏洞（评分为 8.8/10）已在流行的开源多媒体处理套件 FFmpeg 中被发现。该漏洞存在于 MagicYUV 解码器中，允许攻击者通过“堆缓冲区越界写入”的方式，在处理恶意制作的视频文件时，实现对目标系统的控制。

值得注意的是，攻击的触发不依赖于用户是否主动打开视频文件。许多网络附加存储（NAS）设备、下载工具以及视频播放软件，在完成 BT 种子文件下载后，会自动扫描视频文件或生成预览图，这一过程就可能在后台静默地触发该漏洞。

安全研究公司 JFrog 的报告指出，包括 Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 在内的多款知名软件受到了此漏洞的影响。其中，Jellyfin 已经被证实存在远程代码执行的风险。

FFmpeg 方面已紧急发布了版本 8.1.2 来修复此安全问题。安全专家强烈建议所有用户和开发者立即更新至最新版本。如果 MagicYUV 解码器并非必需，建议在编译 FFmpeg 时将其禁用。

FFmpeg 作为一款被广泛使用的多媒体框架，其应用遍及各类操作系统下的应用程序，并被集成到安防摄像头、智能电视、NAS 等多种硬件设备的操作系统中。