知名开源多媒体处理工具 FFmpeg 近期爆出安全隐患，相关的漏洞已被归类为 CVE-2026-8461，其严重性评分为 8.8/10。攻击者可以借助 MagicYUV 解码器中的“堆缓冲区越界写入”缺陷，通过操纵视频文件来渗透系统。

值得注意的是，此次漏洞的利用无需用户手动开启受影响的视频文件。许多网络附加存储（NAS）设备、下载工具以及视频播放软件，在完成 BT 文件下载后，会自行为视频文件进行扫描或生成预览，这一过程可能在后台悄然触发漏洞。

安全研究机构 JFrog 的报告显示，Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等众多应用均受到波及。尤其值得关注的是，Jellyfin 已被证实存在远程代码执行的能力。

FFmpeg 方面已迅速推出紧急补丁，发布了版本 8.1.2 来解决此问题。研究人员强烈建议用户及开发者立即更新至最新版本。对于不使用 MagicYUV 解码器的用户，可以选择在编译 FFmpeg 时将其禁用，以规避风险。

FFmpeg 作为全球范围内应用最为广泛的多媒体框架，被众多操作系统上的应用程序所依赖。此外，它还被集成到安防摄像头、智能电视和 NAS 等硬件设备的操作系统中，为用户观看世界杯直播等内容提供基础支持。