← Alertas
Vulnerabilidad Alto En monitoreo

Una falla en software de video permite tomar el control de reproductores, servidores y discos de almacenamiento sin contraseña

Una vulnerabilidad en FFmpeg — el motor de procesamiento de video más usado en el mundo — permite a un atacante tomar control completo de cualquier sistema que reproduzca o previsualice un archivo de video malicioso. No requiere contraseña ni acceso previo: basta con que el archivo llegue al sistema y sea procesado. Afecta reproductores, servidores de medios, discos de almacenamiento en red y plataformas de fotos. Existe parche disponible en FFmpeg 8.1.2.

2026-06-23 · SecurityWeek

Qué ocurrió

Investigadores identificaron una vulnerabilidad crítica en FFmpeg (CVE-2026-8461, severidad 8.8 de 10) en el componente que procesa un formato de video específico. Un atacante puede crear un archivo de video de 50 KB — en formato AVI, MKV o MOV — que al ser reproducido o simplemente previsualizdo toma control del sistema. No requiere que la víctima ingrese contraseñas ni ejecute nada manualmente: con que el archivo sea procesado por el sistema es suficiente.

Quién está expuesto

Cualquier sistema que use FFmpeg como motor de procesamiento: reproductores de video como Kodi o mpv, servidores de medios como Jellyfin o Emby, software de transmisión como OBS Studio, plataformas de fotos como Nextcloud, Immich o PhotoPrism, y discos de almacenamiento en red (NAS) de múltiples marcas. También los exploradores de archivos de Linux (GNOME, KDE, XFCE) que generan miniaturas de video automáticamente.

A considerar

FFmpeg versión 8.1.2 contiene la corrección. Priorizar la actualización en sistemas que reciben archivos de fuentes externas — especialmente servidores de medios accesibles desde internet y discos NAS compartidos con múltiples usuarios o conectados a redes no controladas.

Impacto potencial

Un archivo de video enviado por correo, descargado de internet, o copiado a una carpeta compartida que el sistema previsualiza automáticamente es suficiente para que un atacante tome el control completo del equipo — sin que el usuario haga nada más que tener el archivo en su sistema.

Leer fuente original →