CVE-2026-55404 in yt-dlpinformação

Sumário

de VulDB • 08/07/2026

yt-dlp e youtube-dl são downloaders de áudio/vídeo via linha de comando. Antes da versão 2026.7.4, as opções --write-link, --write-url-link e --write-desktop-link podem escrever arquivos de atalho .url ou .desktop utilizando os metadados webpage_url ou filename controlados pelo atacante, sem validação ou escape suficientes, permitindo a injeção maliciosa de URIs file:// no Windows ou a injeção baseada em nova linha (newline-based) nas chaves de entrada desktop do Linux que podem executar comandos se o atalho gerado for aberto. Este problema foi corrigido na versão 2026.7.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

16/06/2026

Divulgação

08/07/2026

Moderação

aceite

Entrada

VDB-376963

CPE

pronto

EPSS

0.00554

KEV

não

Atividades

baixo

Fontes

Do you know our Splunk app?

Download it now for free!