CVE-2026-55404 in yt-dlpالمعلومات

الملخص

بحسب VulDB • 09/07/2026

yt-dlp و youtube-dl هما أدوات تحميل صوت/فيديو عبر سطر الأوامر. قبل الإصدار 2026.7.4، يمكن لخيارات --write-link و --write-url-link و --write-desktop-link كتابة ملفات اختصارات .url أو .desktop باستخدام بيانات تعريفية لـ webpage_url أو filename يتحكم فيها المهاجم دون التحقق الكافي منها أو الهروب (escaping) المناسب لها، مما يتيح حقن عناوين URI من نوع file:// على نظام ويندوز أو حقن مفاتيح إدخالات سطح المكتب القائمة على السطر الجديد على لينكس، والتي يمكن أن تنفذ الأوامر إذا تم فتح الاختصار المُولّد. تمت معالجة هذه المشكلة في الإصدار 2026.7.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

16/06/2026

إفشاء

08/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-376963

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!