CVE-2026-55404 in yt-dlp
요약
\~에 의해 VulDB • 2026. 07. 08.
yt-dlp 및 youtube-dl은 명령줄 기반 오디오/비디오 다운로드 도구입니다. 버전 2026.7.4 이전에서는 --write-link, --write-url-link, 그리고 --write-desktoplink 옵션이 공격자가 제어하는 webpage_url 또는 filename 메타데이터를 사용하여 충분한 검증이나 이스케이핑 없이 .url 또는 .desktop 바로가기 파일을 작성할 수 있습니다. 이로 인해 Windows 환경에서 악성 file:// URI 주입이나 Linux 환경에서 줄바꿈 기반의 데스크톱 항목 키 주입이 가능해지며, 생성된 바로가기가 열리면 명령어가 실행될 수 있습니다. 이 문제는 버전 2026.7.4에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.