CVE-2026-26331 in yt-dlpالمعلومات

الملخص

بحسب VulDB • 09/05/2026

yt-dlp هو أداة لتنزيل الصوت/الفيديو تعمل عبر سطر الأوامر. بدءاً من الإصدار 2023.06.21 وحتى الإصدارات السابقة لـ 2026.02.21، عند استخدام خيار سطر الأوامر `--netrc-cmd` (أو معلمة واجهة برمجة التطبيقات بلغة بايثون `netrc_cmd`)، يمكن لمهاجم تحقيق حقن أوامر عشوائية على نظام المستخدم باستخدام عنوان URL مُصاغ بشكل ضار. يفترض مشرفو yt-dlp أن تأثير هذه الثغرة مرتفع بالنسبة لأي شخص يستخدم `--netrc-cmd` في سطر الأوامر/التكوين الخاص به أو `netrc_cmd` في نصوص بايثون الخاصة به. وعلى الرغم من أن عنوان URL المُصاغ بشكل ضار سيبدو مريباً للغاية بالنسبة للعديد من المستخدمين، إلا أنه سيكون أمراً يسيراً لموقع ويب ضار يحتوي على عنوان URL غير لافت للنظر أن يستغل هذه الثغرة بشكل خفي عبر إعادة توجيه HTTP. المستخدمون الذين لا يستخدمون `--netrc-cmd` في حججهم أو `netrc_cmd` في نصوصهم البرمجية غير متأثرين. لم يتم العثور على أدلة على استخدام هذا الاستغلال في البرية. يصحح إصدار yt-dlp 2026.02.21 هذه المشكلة من خلال التحقق من صحة جميع قيم "machine" في ملف netrc ورفع خطأ عند وجود مدخلات غير متوقعة. كحل بديل، يجب على المستخدمين الذين لا يستطيعون الترقية تجنب استخدام خيار سطر الأوامر `--netrc-cmd` (أو معلمة واجهة برمجة التطبيقات بلغة بايثون `netrc_cmd`)، أو على الأقل عدم تمرير عنصر نائب (`{}`) في حجة `--netrc-cmd` الخاصة بهم.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

13/02/2026

إفشاء

24/02/2026

الاعتدال

تمت الموافقة

إدخال

VDB-347429

CPE

جاهز

CWE

CWE-78 (مؤكد)

CVSS

8.8 (CNA)

EPSS

0.00218

KEV

لا

النشاطات

منخفض جدًا

القطاع

Chemical, Finance, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-26331
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-26331
CVE Details	https://www.cvedetails.com/cve/CVE-2026-26331/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!