著名的开源多媒体处理工具 FFmpeg 近期爆出安全隐患，编号为 CVE-2026-8461 的漏洞被评定为高危（8.8/10），攻击者可借此漏洞操控用户系统。该漏洞存在于 MagicYUV 解码器中，利用“堆缓冲区越界写入”的缺陷，攻击者能够通过恶意视频文件入侵目标设备。

更令人担忧的是，此类攻击无需用户手动开启视频文件即可实现。许多网络附加存储（NAS）设备、下载工具以及视频播放软件，在完成 BT 种子下载后，会自动扫描视频文件或生成预览图。在这一过程中，漏洞便可能在后台被触发，从而完成对系统的控制。

安全研究机构 JFrog 证实，Kodi、OBS Studio、Jellyfin、mpv、PhotoPrism 等众多知名软件均受到了此漏洞的影响。其中，Jellyfin 更是已能实现远程代码执行。

FFmpeg 方面已紧急发布了修复补丁，最新版本为 8.1.2。研究人员强烈建议所有用户和开发者立即更新至最新版本。对于不需要 MagicYUV 解码器的用户，也可以在编译 FFmpeg 时选择禁用该解码器，以规避风险。此次漏洞的出现，也让一些关注世界杯竞猜的用户开始审视其使用的软件安全。

需要指出的是，FFmpeg 作为全球应用最广泛的多媒体框架，其影响力巨大，被众多操作系统中的应用程序所依赖，并广泛集成于安防摄像头、智能电视、NAS 等硬件设备的操作系统内。