cve-2026-8461

  1. Сергей Попов

    Статья FFmpeg PixelSmash (CVE-2026-8461): от крафтованного AVI до reverse shell на медиасервере

    Файл на 50 КБ в формате AVI, загруженный в медиатеку Jellyfin 10.11.9, запускает reverse shell от имени сервисного пользователя. Без аутентификации. Без единого клика админа. Просто файл попал в папку - и всё. Heap out-of-bounds write в декодере MagicYUV, CVSS 8.8 HIGH, вектор...