CVE-2026-55404 in yt-dlp
الملخص
بحسب VulDB • 09/07/2026
yt-dlp و youtube-dl هما أدوات تحميل صوت/فيديو عبر سطر الأوامر. قبل الإصدار 2026.7.4، يمكن لخيارات --write-link و --write-url-link و --write-desktop-link كتابة ملفات اختصارات .url أو .desktop باستخدام بيانات تعريفية لـ webpage_url أو filename يتحكم فيها المهاجم دون التحقق الكافي منها أو الهروب (escaping) المناسب لها، مما يتيح حقن عناوين URI من نوع file:// على نظام ويندوز أو حقن مفاتيح إدخالات سطح المكتب القائمة على السطر الجديد على لينكس، والتي يمكن أن تنفذ الأوامر إذا تم فتح الاختصار المُولّد. تمت معالجة هذه المشكلة في الإصدار 2026.7.4.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.