Un fichier vidéo de 50 Ko suffit pour exploiter PixelSmash (CVE-2026-8461), une faille critique découverte dans FFmpeg. Elle permet, dans certaines conditions, d’exécuter du code à distance sur un serveur Jellyfin, et de faire planter de nombreuses autres applications qui reposent sur cette brique logicielle. Voici ce que l’on sait.
50 Ko pour piéger un serveur Jellyfin
Cette faille de sécurité a été mise en lumière par un rapport publié par les chercheurs de JFrog. Elle se situe dans le décodeur MagicYUV de libavcodec, la bibliothèque de décodage utilisée par FFmpeg. FFmpeg est la bibliothèque libre de référence pour le traitement des fichiers audio et vidéo, intégrée dans de nombreuses solutions. Cette vulnérabilité correspond à une écriture hors limites dans le tas et est associée à un score CVSS de 8.8 sur 10, indiquant un niveau élevé de gravité.
La faille est provoquée par une incohérence entre la manière dont l’allocateur d’images et le décodeur calculent la hauteur des plans chroma, entraînant un débordement d’une ligne de pixels au-delà du tampon alloué. En exploitant cette vulnérabilité, les chercheurs ont pu obtenir une exécution de code à distance (RCE) sur un serveur Jellyfin en version 10.11.9, via la fonction de scan automatique de médiathèque.
Une faille qui se propage à tout un écosystème
Le problème ne se limite pas à Jellyfin. FFmpeg est intégré dans de nombreux logiciels, et le décodeur MagicYUV est activé par défaut dans les builds en amont. Ainsi, une seule erreur dans un décodeur peut affecter des centaines de projets qui utilisent ce code vulnérable.
JFrog a confirmé des plantages sur plusieurs applications, parmi lesquelles :
- Les lecteurs mpv et Kodi,
- Les serveurs multimédias Emby, Immich et PhotoPrism,
- Le logiciel de streaming OBS Studio,
- Les générateurs de vignettes ffmpegthumbnailer utilisés par GNOME, KDE et XFCE,
- Le framework d’IA vLLM.
Nextcloud est également vulnérable lorsque la génération d’aperçus vidéo est activée. En revanche, Plex échappe à PixelSmash, car il compile sa propre version de FFmpeg avec une liste blanche de décodeurs.
Conséquences et correctifs
L’exploitation de cette faille peut survenir sans aucune action de l’utilisateur, par exemple via un fichier vidéo piégé récupéré automatiquement par des outils comme Sonarr ou Radarr. JFrog souligne que cette vulnérabilité illustre un problème de chaîne d’approvisionnement logicielle : « Votre surface d’attaque inclut chaque ligne de code de chaque dépendance que vous embarquez, que vous l’ayez lue ou non. »
Sans cette protection, la faille ne peut causer qu’un déni de service.
Un correctif est disponible : FFmpeg a publié la version 8.1.2 le 17 juin 2026. Il est recommandé de mettre à jour FFmpeg (ou la version embarquée jellyfin-ffmpeg) vers cette version corrigée. Pour ceux qui compilent eux-mêmes, il est conseillé de désactiver le décodeur vulnérable.
À ne pas confondre avec les failles Jellyfin d’avril 2026
Il est crucial de distinguer PixelSmash, qui concerne FFmpeg, des vulnérabilités corrigées dans Jellyfin 10.11.7 plus tôt cette année. Parmi celles-ci, la CVE-2026-35033, découverte par Sonar, permettait à un attaquant non authentifié de lire des fichiers arbitraires sur le serveur.
Pour une sécurité optimale, il est essentiel d’avoir à la fois une version récente de Jellyfin et une version corrigée de FFmpeg.
Source : JFrog
