CVE-2026-56211
Alvorlig

CVE-2026-56211: Kritisk fejl i libaom AV1-bibliotek

Kritisk fejl i AV1-videobibliotek kan give angribere fuld kontrol over din server ved upload af manipulerede videofiler.

CVSS Score
7.1
Offentliggjort
19/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Opdatér hurtigst muligt

Hvad er det?

CVE-2026-56211 er en sårbarhed i libaom — det officielle open source-bibliotek til at indkode og afkode AV1-video. AV1 er et moderne videoformat, der bruges i mange streamingtjenester og videoplatforme.

Fejlen opstår i en funktion kaldet SVC (Scalable Video Coding), som bruges til at lave video i flere kvalitetsniveauer på én gang. Biblioteket tjekker ikke godt nok, om de data det modtager holder sig inden for de tilladte grænser (såkaldt out-of-bounds write, CWE-787). Det betyder, at en angriber kan sende en særligt konstrueret videofil, der snyder programmet til at skrive data det forkerte sted i hukommelsen — og dermed overtage styringen af serveren.

Hvem rammer det?

Sårbarheden rammer primært virksomheder og tjenester der behandler videoer uploadet af brugere, og som bruger libaom-biblioteket med SVC-indkodning aktiveret. Det kan fx være:

  • Platforme med brugergenereret videoindhold (fx intranet med videoupload, e-læringstjenester)
  • Videokonference- eller streamingløsninger der bygger på AV1
  • Medievirksomheder med automatiserede videoproceseringsservere
  • SaaS-løsninger (cloud-software) der tilbyder videokonvertering eller -behandling

Bruger du ikke selv videobehandling med libaom, er du sandsynligvis ikke direkte ramt — men tjek dine leverandørers software.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan vedkommende opnå fuld kontrol over den serverproces der håndterer videoen. I praksis betyder det:

  • Afvikling af vilkårlige kommandoer på serveren (Remote Code Execution)
  • Datatyveri — angriberen kan tilgå filer og databaser serveren har adgang til
  • Nedbrud af tjenesten — serveren kan crashe gentagne gange som del af angrebet
  • Spredning i dit netværk — hvis serveren er forbundet til andre systemer, kan angriberen bevæge sig videre

Angriberen behøver ikke login eller særlige rettigheder — det kræver blot, at du accepterer en videofil fra dem.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.1 (Alvorlig). Den kræver en vis teknisk indsats af angriberen (høj kompleksitet) og at en bruger interagerer med den ondsindede fil, hvilket sænker scoren en smule. Til gengæld kræves der ingen forudgående login eller adgangskoder.

Konsekvenserne er alvorlige: potentiel fuld kontrol over serveren samt høj risiko for tab af data og systemnedbrud. Tjenester der automatisk behandler indkommende videoer uden menneskelig gennemgang er særligt udsatte, da brugerinteraktionen i praksis kan reduceres til blot at uploade filen.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Kortlæg om du bruger libaom: Spørg din IT-ansvarlige eller leverandør, om jeres systemer bruger libaom-biblioteket til videobehandling — særligt med SVC-indkodning aktiveret.
  2. Opdatér libaom straks: Installer den seneste patchede version af libaom, så snart den er tilgængelig fra projektets officielle kilde (aomedia.googlesource.com).
  3. Deaktivér SVC-indkodning midlertidigt: Hvis du ikke kan opdatere med det samme, så overvej at slå SVC-funktionen fra i libaom-konfigurationen, indtil patchen er installeret.
  4. Begræns hvem der kan uploade videoer: Indfør eller stram adgangskontrol, så kun kendte og betroede brugere kan uploade videofiler til systemet.
  5. Overvåg dine systemer: Hold øje med unormale nedbrud eller fejl i videoprocesseringstjenester — gentagne crashes kan være tegn på, at nogen forsøger at udnytte fejlen.
  6. Kontakt dine softwareleverandører: Spørg om de bruger libaom i deres produkter, og hvornår de forventer at levere en opdatering.
Tidsfrist

Opdatér hurtigst muligt

Sådan ser Auroa det

Vores anbefaling er, at du straks kortlægger om libaom indgår i din softwarestack — enten direkte eller via en tredjeparts leverandør. Kan du ikke opdatere øjeblikkeligt, bør du som minimum deaktivere SVC-indkodning og begrænse muligheden for at uploade videofiler til kun verificerede brugere. Sæt en reminder til at installere patchen, så snart den frigives officielt, og følg op med dine it-leverandører om deres tidsplan.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2026-56211 blev offentliggjort i NVD (National Vulnerability Database) med en CVSS-score på 7.1 (Alvorlig). Sårbarheden i libaom's SVC-komponent beskrives detaljeret.
19/06/2026
Proof-of-concept tilgængeligt
Samtidig med offentliggørelsen er der indikationer på, at et proof-of-concept (demonstrationsangreb) er tilgængeligt, hvilket øger risikoen for hurtig udnyttelse af sårbarheden.
19/06/2026
Patch under udvikling
En officiel rettelse fra libaom-projektet var endnu ikke frigivet på offentliggørelsestidspunktet. Udviklerne er blevet gjort opmærksomme på fejlen og arbejder på en løsning.
09/07/2026
Forventet patch-udgivelse
Patch-udgivelsesdato er endnu ikke bekræftet. Følg opdateringer på aomedia.googlesource.com og din Linux-distributions sikkerhedsbulletiner for at få besked, når rettelsen er klar.

Konkrete eksempler

Ondsindet videoupload på medieplatform

En angriber opretter en konto på en virksomheds interne videodelingsplatform og uploader en særligt konstrueret AV1-videofil. Serverens automatiske videobehandling aktiverer libaom med SVC-indkodning, og den manipulerede fil udløser fejlen. Angriberen overtager serverprocessen og kan nu læse alle videoer og brugerdata på platformen.

Angreb via e-læringsplatform med videoindsendelse

En kursusplatform tillader studerende at uploade videobesvarelser. En angriber indsender en manipuleret videofil som en opgavebesvarelse. Serveren behandler automatisk filen med libaom, og angriberen opnår adgang til serverens filsystem — herunder andre studerendes besvarelser og platformens konfigurationsfiler med adgangskoder.

Crash-oracle-angreb mod videokonverteringstjeneste

En angriber benytter en automatiseret videokonverteringstjeneste og sender gentagne, lidt varierede manipulerede videofiler. Hvert crash afslører information om serverens hukommelseslayout (en teknik kaldet crash oracle). Efter tilstrækkeligt mange forsøg har angriberen kortlagt hukommelsen præcist nok til at eksekvere vilkårlige kommandoer på serveren.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
LOW
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:H

CWE-svaghedstyper

CWE-787

Original NVD-beskrivelse (engelsk)

A remote code execution vulnerability was found in libaom, the reference AV1 codec implementation. Insufficient bounds validation in the AV1 encoder’s SVC (Scalable Video Coding) layer ID control allows an attacker to supply crafted video frame pixels that overlap with internal encoder layer context structures. In fork-based video processing services, an attacker can use this to hijack the cyclic refresh map pointer, brute-force the process base address via a crash oracle, and redirect control flow to achieve arbitrary command execution. Exploitation requires the target service to use libaom with SVC encoding enabled and accept attacker-supplied video frames.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-56211
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Opdatér hurtigst muligt

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.