CVE-2026-55404 in yt-dlpinformazioni

Riassunto

di VulDB • 08/07/2026

yt-dlp e youtube-dl sono downloader audio/video da riga di comando. Prima della versione 2026.7.4, le opzioni --write-link, --write-url-link e --write-desktop-link possono scrivere file di collegamento .url o .desktop utilizzando i metadati webpage_url o filename controllati dall'attaccante senza una convalida sufficiente o un escaping adeguato, consentendo l'iniezione di URI malevoli file:// su Windows oppure l'iniezione basata su newline delle chiavi di voce desktop su Linux che può eseguire comandi se il collegamento generato viene aperto. Questo problema è stato risolto nella versione 2026.7.4.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

16/06/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!