CVE-2026-26331 in yt-dlp
요약
\~에 의해 VulDB • 2026. 05. 23.
yt-dlp는 명령줄 기반 오디오/비디오 다운로드 도구입니다. 버전 2023.06.21부터 버전 2026.02.21 이전까지, yt-dlp의 `--netrc-cmd` 명령줄 옵션(또는 `netrc_cmd` Python API 매개변수)이 사용될 경우, 공격자가 악의적으로 조작된 URL을 통해 사용자의 시스템에서 임의의 명령어 주입을 수행할 수 있습니다. yt-dlp 유지관리자들은 `--netrc-cmd`를 명령줄/설정에서 사용하거나 Python 스크립트에서 `netrc_cmd`를 사용하는 모든 사용자에게 이 취약점의 영향도가 높다고 평가합니다. 악의적으로 조작된 URL 자체는 많은 사용자에게 매우 의심스럽게 보일 수 있지만, 눈에 띄지 않는 URL을 가진 악의적인 웹페이지가 HTTP 리디렉션을 통해 이 취약점을 은밀하게 악용하는 것은 매우 쉬운 일입니다. 명령줄 인자에 `--netrc-cmd`가 없거나 스크립트에서 `netrc_cmd`를 사용하지 않는 사용자는 영향을 받지 않습니다. 현재 이 악용이 실제 환경에서 사용된 증거는 발견되지 않았습니다. yt-dlp 버전 2026.02.21은 모든 netrc "machine" 값을 검증하고 예기치 않은 입력이 감지될 경우 오류를 발생시킴으로써 이 문제를 해결합니다. 업그레이드가 불가능한 사용자를 위한 우회 방법으로, `--netrc-cmd` 명령줄 옵션(또는 `netrc_cmd` Python API 매개변수)의 사용을 피하거나, 최소한 `--netrc-cmd` 인자에 플레이스홀더(`{}`)를 전달하지 않아야 합니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.