来源于上游 FFmpeg 高危漏洞通知 更新时间 20260625
漏洞名称:FFmpeg的MagicYUV解码器漏洞
漏洞编号 :CVE-2026-8461
风险等级: 高危
影响范围:启用 MagicYUV 解码器的 FFmpeg / libavcodec 相关环境,FFmpeg低于8.1.2版本
该问题影响使用 FFmpeg 处理 AVI、MKV、MOV 等媒体文件的系统或应用,涉及媒体库扫描、缩略图生成、视频转码、文件预览、相册/影视类服务等场景。
该漏洞实际影响与 FFmpeg 版本、编译配置、是否启用 MagicYUV 解码器,以及系统是否自动处理不可信媒体文件有关。使用 Jellyfin、Emby、Nextcloud、Immich、PhotoPrism、OBS Studio、ffmpegthumbnailer 等依赖 FFmpeg 的应用场景需重点关注。
风险描述:
经初步评估,该风险主要影响会自动解析不可信媒体文件的应用和三方服务。
fnOS系统因开启了ASLR,无法准确找到内存地址,可很大程度避免该风险。
目前飞牛已经升级系统相关组件彻底解决该漏洞,正在测试中。
处置建议:
- 避免在 fnOS 上运行来源不可信的媒体文件、Docker 容器或三方应用
- 对 Jellyfin、Emby、Nextcloud、Immich、PhotoPrism 等媒体/相册类服务,建议关闭不必要的自动扫描、自动转码、自动缩略图生成功能
- 关注 fnOS 官方更新及相关应用更新,及时升级 FFmpeg 或依赖 FFmpeg 的应用到安全版本
