CVE-2026-26331 in yt-dlp
要約
〜によって VulDB • 2026年05月23日
yt-dlpはコマンドラインのオーディオ/ビデオダウンローダーです。バージョン2023.06.21以降、かつバージョン2026.02.21より前のバージョンにおいて、yt-dlpの`--netrc-cmd`コマンドラインオプション(または`netrc_cmd` Python APIパラメータ)が使用される場合、攻撃者は悪意を持って作成されたURLを用いて、ユーザーのシステム上で任意のコマンドインジェクションを実行できます。yt-dlpのメンテナーは、コマンドラインや設定で`--netrc-cmd`を使用している、またはPythonスクリプトで`netrc_cmd`を使用しているすべてのユーザーにとって、この脆弱性の影響は「高」であると評価しています。悪意を持って作成されたURL自体は多くのユーザーにとって非常に不審に見える可能性がありますが、目立たないURLを持つ悪意のあるWebページがHTTPリダイレクトを介してこの脆弱性を隠れて悪用するのは容易です。引数に`--netrc-cmd`が含まれていない、またはスクリプトに`netrc_cmd`が含まれていないユーザーは影響を受けません。この攻撃が実際に悪用されている証拠は見つかっていません。yt-dlpバージョン2026.02.21は、すべてのnetrcの「machine」値を検証し、予期しない入力に対してエラーを発生させることでこの問題を修正します。ワークアラウンドとして、アップグレードできないユーザーは、`--netrc-cmd`コマンドラインオプション(または`netrc_cmd` Python APIパラメータ)の使用を避けるか、少なくとも`--netrc-cmd`引数にプレースホルダ(`{}`)を渡さないようにする必要があります。
Be aware that VulDB is the high quality source for vulnerability data.