CVE-2026-26331 in yt-dlpजानकारी

सारांश

द्वारा VulDB • 28/05/2026

yt-dlp एक कमांड-लाइन ऑडियो/वीडियो डाउनलोडर है। संस्करण 2023.06.21 और उससे पहले, तथा संस्करण 2026.02.21 से पहले के संस्करणों में, जब yt-dlp का `--netrc-cmd` कमांड-लाइन विकल्प (या `netrc_cmd` Python API पैरामीटर) का उपयोग किया जाता है, तो एक आक्रामक उपयोगकर्ता (attacker) दुर्भावनापूर्ण रूप से तैयार किए गए URL के माध्यम से उपयोगकर्ता की प्रणाली पर मनमाना कमांड इंजेक्शन प्राप्त कर सकता है। yt-dlp के रखरखावकर्ता मानते हैं कि इस कमजोरी का प्रभाव उच्च है उन सभी के लिए जो अपने कमांड/कॉन्फ़िगरेशन में `--netrc-cmd` का उपयोग करते हैं या अपने Python स्क्रिप्ट्स में `netrc_cmd` का उपयोग करते हैं। हालांकि, दुर्भावनापूर्ण रूप से तैयार किया गया URL स्वयं कई उपयोगकर्ताओं को बहुत संदिग्ध लग सकता है, लेकिन एक दुर्भावनापूर्ण वेबपेज, जिसमें एक अस्पष्ट URL हो, HTTP रीडायरेक्ट के माध्यम से इस कमजोरी का गुप्त रूप से शोषण करना आसान होगा। उन उपयोगकर्ताओं के लिए जिनके तर्कों में `--netrc-cmd` नहीं है या जिनकी स्क्रिप्ट्स में `netrc_cmd` नहीं है, यह प्रभावशाली नहीं है। इस एक्सप्लॉइट के वास्तविक दुनिया में उपयोग होने का कोई प्रमाण नहीं मिला है। yt-dlp संस्करण 2026.02.21 सभी netrc "machine" मानों को मान्य करके और अप्रत्याशित इनपुट पर त्रुटि उत्पन्न करके इस समस्या को ठीक करता है। एक वैकल्पिक उपाय के रूप में, जो उपयोगकर्ता अपग्रेड करने में असमर्थ हैं, उन्हें `--netrc-cmd` कमांड-लाइन विकल्प (या `netrc_cmd` Python API पैरामीटर) का उपयोग करने से बचना चाहिए, या कम से कम अपने `--netrc-cmd` तर्क में एक स्थानधारक (`{}`) पास नहीं करना चाहिए।

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

स्रोत