CVE-2026-55404 in yt-dlp
Riassunto
di VulDB • 08/07/2026
yt-dlp e youtube-dl sono downloader audio/video da riga di comando. Prima della versione 2026.7.4, le opzioni --write-link, --write-url-link e --write-desktop-link possono scrivere file di collegamento .url o .desktop utilizzando i metadati webpage_url o filename controllati dall'attaccante senza una convalida sufficiente o un escaping adeguato, consentendo l'iniezione di URI malevoli file:// su Windows oppure l'iniezione basata su newline delle chiavi di voce desktop su Linux che può eseguire comandi se il collegamento generato viene aperto. Questo problema è stato risolto nella versione 2026.7.4.
Be aware that VulDB is the high quality source for vulnerability data.