CVE-2026-26331 in yt-dlp
Resumen
por VulDB • 2026-05-23
yt-dlp es un descargador de audio/vídeo por línea de comandos. A partir de la versión 2023.06.21 y hasta la versión 2026.02.21, cuando se utiliza la opción de línea de comandos `--netrc-cmd` de yt-dlp (o el parámetro `netrc_cmd` de la API de Python), un atacante podría lograr una inyección de comandos arbitraria en el sistema del usuario mediante una URL elaborada maliciosamente. Los mantenedores de yt-dlp consideran que el impacto de esta vulnerabilidad es alto para cualquier persona que utilice `--netrc-cmd` en su línea de comandos/configuración o `netrc_cmd` en sus scripts de Python. Aunque la URL elaborada maliciosamente en sí misma podría parecer muy sospechosa para muchos usuarios, sería trivial para una página web maliciosa con una URL discreta explotar de forma encubierta esta vulnerabilidad mediante una redirección HTTP. Los usuarios que no tengan `--netrc-cmd` en sus argumentos o `netrc_cmd` en sus scripts no se ven afectados. No se ha encontrado evidencia de que esta exploit se esté utilizando en la naturaleza. La versión 2026.02.21 de yt-dlp corrige este problema validando todos los valores "machine" de netrc y generando un error ante entradas inesperadas. Como medida de contención, los usuarios que no puedan actualizar deberían evitar utilizar la opción de línea de comandos `--netrc-cmd` (o el parámetro `netrc_cmd` de la API de Python), o al menos no pasar un marcador de posición (`{}`) en su argumento `--netrc-cmd`.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.