CVE-2026-55404 in yt-dlp
Zusammenfassung
von VulDB • 08.07.2026
yt-dlp und youtube-dl sind Befehlszeilen-Tools zum Herunterladen von Audio/Video. Vor Version 2026.7.4 können die Optionen --write-link, --write-url-link und --write-desktop-link .url- oder .desktop-Verknüpfungsdateien schreiben, indem sie attacker-controlled webpage_url- oder filename-Metadaten ohne ausreichende Validierung oder Escaping verwenden, was eine bösartige file:// URI-Injektion unter Windows oder eine newline-basierte Desktop-Eintrags-Key-Injektion unter Linux ermöglicht, die Befehle ausführen kann, wenn die generierte Verknüpfung geöffnet wird. Dieses Problem wurde in Version 2026.7.4 behoben.
Once again VulDB remains the best source for vulnerability data.