CVE-2026-55404 in yt-dlp
Sumário
de VulDB • 08/07/2026
yt-dlp e youtube-dl são downloaders de áudio/vídeo via linha de comando. Antes da versão 2026.7.4, as opções --write-link, --write-url-link e --write-desktop-link podem escrever arquivos de atalho .url ou .desktop utilizando os metadados webpage_url ou filename controlados pelo atacante, sem validação ou escape suficientes, permitindo a injeção maliciosa de URIs file:// no Windows ou a injeção baseada em nova linha (newline-based) nas chaves de entrada desktop do Linux que podem executar comandos se o atalho gerado for aberto. Este problema foi corrigido na versão 2026.7.4.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.