开源多媒体处理库 FFmpeg 被发现存在严重安全隐患，编号为 CVE-2026-8461，评分为 8.8（满分 10）。该漏洞源于 MagicYUV 组件中的“堆缓冲区越界写入”缺陷，攻击者能够通过操纵视频文件来入侵目标系统。

值得注意的是，此次漏洞的利用无需用户直接打开恶意视频。许多网络附加存储（NAS）设备、下载工具以及视频播放软件在完成文件下载后，会自动扫描视频内容或生成预览图，这一过程即可在后台悄无声息地触发漏洞。

安全研究机构 JFrog 披露，Kodi、OBS Studio、Jellyfin、mpv、PhotoPrism 等众多知名软件均受到此漏洞影响。特别是 Jellyfin，已经曝出可被远程执行代码的风险。

FFmpeg 方面已紧急发布了修复版本 8.1.2。安全专家强烈建议用户和开发者立即更新至最新版本。如果 MagicYUV 解码器并非必需，则可以在编译 FFmpeg 时选择禁用。FFmpeg 作为全球范围内应用最广泛的多媒体框架，其广泛性意味着该漏洞可能影响到包括安防摄像头、智能电视、NAS 在内的各类设备操作系统中的应用程序。此次事件也引发了对软件供应链安全的关注，甚至在一些涉及 世界杯赔率 的讨论中，也提到了对播放软件安全性的担忧。