Un fichier vidéo de 50 Ko suffit pour exploiter PixelSmash (CVE-2026-8461), une faille critique découverte dans FFmpeg ! Elle permet, dans certaines conditions, d’exécuter du code à distance sur un serveur Jellyfin, et de faire planter des dizaines d’autres applications qui reposent sur cette brique logicielle. Voici ce que l’on sait.

50 Ko pour piéger un serveur Jellyfin

Cette faille de sécurité a été mise en lumière par un nouveau rapport publié par les chercheurs de JFrog. Elle se situe dans le décodeur de , la bibliothèque de décodage utilisée par FFmpeg. Pour ceux qui ne connaissent pas FFmpeg, c’est la bibliothèque libre de référence pour le traitement des fichiers audio et vidéo, embarquée dans énormément de solutions. Cette faiblesse, quant à elle, correspond à une écriture hors limites dans le tas et elle est associée à un score CVSS de 8.8 sur 10, soit un niveau élevé.

Sans trop rentrer dans les détails techniques (vous en trouverez davantage dans le rapport de JFrog), cette faille est provoquée par une incohérence entre la manière dont l’allocateur d’images et le décodeur calculent la hauteur des plans chroma. Ceci provoque alors le débordement d’une ligne de pixels au-delà du tampon alloué.

En exploitant cette vulnérabilité, les chercheurs sont parvenus à obtenir une exécution de code à distance (RCE) sur un serveur Jellyfin en version 10.11.9, via la fonction de scan automatique de médiathèque.

Une faille qui se propage à tout un écosystème

C’est là que le sujet dépasse Jellyfin. FFmpeg est embarqué dans une multitude de logiciels, et le décodeur est activé par défaut dans les builds en amont. Résultat : une seule erreur, dans un seul décodeur, se propage à des centaines de projets qui héritent de ce code vulnérable à la faille PixelSmash.

JFrog a confirmé des plantages sur de nombreuses applications, parmi lesquelles :

• Les lecteurs mpv et Kodi,
• Les serveurs multimédias Emby, Immich et PhotoPrism,
• Le logiciel de streaming OBS Studio,
• Les générateurs de vignettes ffmpegthumbnailer utilisés par GNOME, KDE et XFCE,
• Le framework d’IA vLLM.

Parmi les applications vulnérables, on peut noter aussi Nextcloud, lorsque la génération d’aperçus vidéo est activée. Pour ceux qui utilisent Plex, vous avez de la chance : c’est une exception et il échappe à PixelSmash. La raison ? Plex compile sa propre version de FFmpeg avec une liste blanche de décodeurs.

Pour les adeptes de l’auto-hébergement, voici comment vous pourriez vous faire piéger… Un fichier vidéo piégé diffusé en torrent ou en nzb, récupéré automatiquement par Sonarr ou Radarr, puis déposé dans une médiathèque scannée par Jellyfin : l’exploitation se déclenche sans aucune action de l’utilisateur.

Comme le résume JFrog, cette faille illustre un problème de chaîne d’approvisionnement logicielle : “Votre surface d’attaque inclut chaque ligne de code de chaque dépendance que vous embarquez, que vous l’ayez lue ou non.”

Comment se protéger de PixelSmash ?

Commençons par une précision importante : l’exécution de code à distance n’a été démontrée qu’avec l’ASLR désactivé sur le serveur Jellyfin. Il s’agit d’une protection mémoire présente par défaut sur la plupart des systèmes Linux. Sans cela, la faille ne peut que causer un déni de service en faisant planter l’application visée.

Le correctif pour la faille PixelSmash existe : FFmpeg a publié la version 8.1.2 le 17 juin 2026. La marche à suivre consiste donc à mettre à jour FFmpeg (ou la version embarquée ) vers la version patchée. Pour ceux qui compilent eux-mêmes cette bibliothèque, désactivez le décodeur fautif avec , ou appliquer le correctif fourni par les développeurs.

Côté calendrier, JFrog indique avoir signalé la faille à l’équipe de sécurité de FFmpeg le 13 mai 2026, pour un correctif livré le 17 juin, suivi quelques jours plus tard de la publication du rapport technique (22 juin 2026).

À ne pas confondre avec les failles Jellyfin d’avril 2026

PixelSmash se situe au niveau de FFmpeg, pas de Jellyfin. À ne pas mélanger, donc, avec le lot de vulnérabilités corrigées dans Jellyfin 10.11.7 plus tôt cette année. Parmi elles, CVE-2026-35033, découverte par Sonar : une injection d’arguments FFmpeg via le paramètre , qui permettait à un attaquant non authentifié de lire des fichiers arbitraires sur le serveur (elle peut aller mener jusqu’à l’exécution de code arbitraire).

Deux failles distinctes, deux correctifs différents : pour être tranquille, il faut à la fois une version récente de Jellyfin et une version corrigée de FFmpeg. Voilà, maintenant vous savez tout.

Enfin, je profite de cet article pour vous rappeler qu’IT-Connect propose un guide pas à pas pour installer Jellyfin sur un NAS Synology avec Docker.