FFmpeg, scoperta la falla PixelSmash: rischio attacchi su Jellyfin, Kodi e Nextcloud

Patch management

Vulnerabilità

Una singola libreria utilizzata da centinaia di applicazioni può trasformarsi in un punto di ingresso per attacchi su larga scala. È il caso di FFmpeg, il celebre framework open source impiegato per elaborare audio e video, finito al centro dell’attenzione per una nuova vulnerabilità ad alta gravità identificata come CVE-2026-8461 e soprannominata PixelSmash.

Il problema interessa il decoder MagicYUV presente in libavcodec e apre scenari che vanno dal blocco delle applicazioni fino all’esecuzione di codice arbitrario.

La scoperta riporta sotto i riflettori una questione nota da anni: quando una libreria è incorporata in migliaia di progetti, un singolo errore nella gestione della memoria può propagare il rischio lungo tutta la catena software. Secondo le informazioni pubblicate da JFrog e successivamente recepite dai database CVE e NVD, la vulnerabilità interessa le versioni di FFmpeg precedenti alla release 8.1.2 e ha ricevuto un punteggio CVSS pari a 8.8.