CVE-2026-55404 in yt-dlpinfo

Zusammenfassung

von VulDB • 08.07.2026

yt-dlp und youtube-dl sind Befehlszeilen-Tools zum Herunterladen von Audio/Video. Vor Version 2026.7.4 können die Optionen --write-link, --write-url-link und --write-desktop-link .url- oder .desktop-Verknüpfungsdateien schreiben, indem sie attacker-controlled webpage_url- oder filename-Metadaten ohne ausreichende Validierung oder Escaping verwenden, was eine bösartige file:// URI-Injektion unter Windows oder eine newline-basierte Desktop-Eintrags-Key-Injektion unter Linux ermöglicht, die Befehle ausführen kann, wenn die generierte Verknüpfung geöffnet wird. Dieses Problem wurde in Version 2026.7.4 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

16.06.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376963

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!