Cacat FFmpeg yang baru terungkap yang dijuluki ‘PixelSmash’ dapat dieksploitasi untuk eksekusi kode jarak jauh pada server Jellyfin dalam kondisi tertentu, dan juga dapat memicu kondisi penolakan layanan dalam aplikasi seperti Kodi, Emby, Nextcloud, PhotoPrism, dan OBS Studio.
Kerentanan dilacak sebagai CVE-2026-8461 dan merupakan penulisan tumpukan di luar batas di dekoder MagicYUV. Ia menerima skor tingkat keparahan tinggi sebesar 8,8 dan dapat dimanfaatkan melalui file video berbahaya dalam format AVI, MKV, atau MOV.
Aplikasi apa pun yang menggunakan libavcodec, pustaka inti FFmpeg untuk decoding dan pengkodean video, dianggap rentan.
Namun, eksploitasi untuk eksekusi kode jarak jauh (RCE) dimungkinkan jika pertahanan Address Space Layout Randomization (ASLR) dinonaktifkan atau dengan merantai kerentanan lain untuk mengalahkan perlindungan.
Akar penyebab dan dampaknya
Para peneliti di perusahaan keamanan rantai pasokan perangkat lunak JFrog mengatakan bahwa PixelSmash berasal dari cara MagicYUV memproses irisan, wilayah independen dari bingkai video yang dapat didekode secara terpisah dari gambar lainnya.
“Kerentannya adalah heap buffer overflow satu baris dalam penanganan irisan decoder MagicYUV, yang disebabkan oleh ketidakkonsistenan antara cara pengalokasi frame dan decoder menghitung ketinggian bidang kroma,” jelas JFrog.
PixelSmash dapat dipicu ketika pengguna membuka file video AVI, MKV, atau MOV, menjelajahi direktori yang berisi file tersebut (melalui pembuatan thumbnail), atau menjalankan alur kerja penyerapan media otomatis.
JFrog menemukan bahwa beberapa aplikasi media populer, seperti Kodi, OBS Studio, PhotoPrism, dan generator thumbnail GNOME/KDE/XFCE, menggunakan FFmpeg dengan dekoder MagicYUV diaktifkan, menjadikannya rentan terhadap serangan PixelSmash.
Slack, Discord, Telegram, dan WhatsApp juga mungkin rentan terhadap serangan PixelSmash, karena mereka menggunakan FFmpeg untuk menghasilkan pratinjau video sisi server, namun belum diuji.
Peneliti utama JFrog Yuval Moravchick menunjukkan bahwa PixelSmash dapat digunakan untuk eksekusi kode jarak jauh pada instance Jellyfin dan Nextcloud (dengan pratinjau Film diaktifkan).
“Untuk mendemonstrasikan dampaknya di dunia nyata, kami mencapai eksekusi kode jarak jauh penuh terhadap server media Jellyfin 10.11.9 – server media self-hosted terpopuler kedua (setelah Plex) – melalui jalur pemindaian perpustakaan media normal,” kata JFrog.
“Jalur serangan: pengunduhan MagicYUV AVI yang dibuat ke perpustakaan media -> Jellyfin secara otomatis memicu ffprobe untuk ekstraksi metadata -> penulisan OOB diaktifkan -> AVBuffer.free dibajak ke system() -> perintah sewenang-wenang dijalankan sebagai pengguna layanan jellyfin.”
Namun, Moravchick mencatat bahwa eksploitasi RCE memerlukan ASLR (Address Space Layout Randomization) untuk dinonaktifkan, dan CVE-2026-8461 saja tidak melewati perlindungan memori ini.
Secara teori, bug pengungkapan informasi terpisah di dekoder FlashSV FFmpeg dapat dihubungkan dengan PixelSmash untuk melewati ASLR.
Skenario serangan lainnya adalah melalui unduhan torrent dan tidak memerlukan interaksi pengguna. Para peneliti mengatakan bahwa penyerang dapat menyebarkan video berbahaya yang menargetkan pengguna Jellyfin yang mengarahkan unduhan tersebut ke folder perpustakaan media aplikasi.
“Pemantau sistem file real-time Jellyfin mendeteksi file baru dan secara otomatis memicu pemindaian metadata ffprobe. Eksploitasi diaktifkan selama pemindaian – AVBuffer.free dibajak ke system(), dan perintah shell terbalik penyerang dijalankan sebagai pengguna layanan jellyfin”
Bahkan ketika RCE dicegah atau tidak mungkin dilakukan, kerentanan CVE-2026-8461 harus cukup untuk mencapai kondisi penolakan layanan (DoS) pada target yang rentan.
Para peneliti menemukan bahwa Plex, server media yang sangat populer, menggunakan build FFmpeg khusus yang dekodernya dinonaktifkan dan daftar izin minimal berlaku, sehingga secara efektif mengurangi risiko PixelSmash.
Selain FFmpeg merilis versi 8.1.2, yang memperbaiki kekurangannya, Jellyfin juga memperbarui versi FFmpeg yang dibundelnya, dan PhotoPrism berupaya menambahkan daftar blokir format file untuk mencegah potensi eksploitasi.
Tim Nextcloud menerima laporan melalui HackerOne, tetapi menolak untuk mengatasi kelemahan tersebut karena kesalahan tersebut ada di luar Nextcloud.
JFrog menemukan PixelSmash (CVE-2026-8461) dan melaporkannya ke tim keamanan FFmpeg pada 13 Mei. Pengembang mengatasi masalah ini dalam versi 8.1.2, yang dirilis pada 17 Juni.
Para peneliti memperingatkan bahwa PixelSmash memiliki permukaan serangan yang sangat besar karena decoder MagicYUV hadir di ratusan proyek yang “mempercayai FFmpeg untuk menangani input yang tidak tepercaya dengan aman,” mengubah kerentanan menjadi masalah rantai pasokan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
