开源多媒体处理工具 FFmpeg 被发现存在一项严重安全隐患，编号为 CVE-2026-8461，其危险评级为 8.8/10。该漏洞源于 MagicYUV 组件中的“堆缓冲区越界写入”缺陷，攻击者能够借此操控视频文件，进而侵入目标系统。

值得注意的是，此次漏洞的利用无需用户手动开启视频文件。许多网络附加存储（NAS）设备、下载工具以及视频播放软件，在完成 BT 种子下载后，会自动扫描视频内容或生成预览图像。这一自动处理过程便可能在后台悄无声息地触发漏洞。

安全研究机构 JFrog 披露，Kodi、OBS Studio、Jellyfin、mpv、PhotoPrism 等多款知名软件均受到此漏洞影响。其中，Jellyfin 软件已证实存在远程代码执行的风险。

FFmpeg 方面已迅速推出紧急修复版本 8.1.2。研究人员强烈建议所有用户及开发者立即更新至最新版本。对于非必需 MagicYUV 解码器的用户，也可以在编译 FFmpeg 时选择将其禁用。

FFmpeg 作为全球应用最广泛的多媒体框架，广泛集成于各类操作系统应用中，并且被安防摄像头、智能电视、NAS 等众多设备的操作系统的底层所采用。对于关注世界杯直播的用户而言，确保所使用的播放软件和设备系统更新至最新版本，是防范此类安全风险的重要一步。