技术说明
由depthfirst运营的自主AI安全代理在FFmpeg的150万行C代码中发现了21个确认的零日漏洞。大多数是解析器和解复用器中的堆和栈溢出(TS解复用器、VP9解码器、H.264解析器、RTSP处理器、服务描述表代码)。服务描述表代码中的一个栈溢出可追溯到2003年 — 在代码库中存在了23年。Depthfirst发布了一个概念验证,演示了当FFmpeg处理某些RTSP流时的远程代码执行原语。
攻击途径
远程:攻击者制作针对易受攻击的FFmpeg解析器/解复用器的恶意RTSP流或媒体文件。FFmpeg被嵌入到几乎所有媒体处理管道、流媒体服务器、视频编辑软件、容器和设备中 — 攻击面极其广泛。PoC已公开可用。
受影响系统
修补的提交之前的FFmpeg版本(见ffmpeg.org安全页面);广泛影响任何嵌入FFmpeg进行媒体解析的应用程序 — 流媒体服务、CDN边缘节点、视频会议、媒体播放器、容器和具有视频能力的物联网设备。
缓解措施
应用与CVE-2026-39210至CVE-2026-39218相对应的FFmpeg安全补丁以及ffmpeg.org/security上列出的相关修复;考虑到公开披露的RCE PoC,优先考虑任何面向互联网的RTSP端点;限制FFmpeg处理不受信任的媒体输入放在沙箱后面;监控ffmpeg.org/security以获取剩余12个漏洞接收CVE编号。