CVE-2026-26331 in yt-dlp
Tóm tắt
Bởi VulDB • 15/05/2026
yt-dlp là một công cụ tải xuống âm thanh/video qua dòng lệnh. Bắt đầu từ phiên bản 2023.06.21 và trước phiên bản 2026.02.21, khi tùy chọn dòng lệnh `--netrc-cmd` của yt-dlp (hoặc tham số API Python `netrc_cmd`) được sử dụng, kẻ tấn công có thể thực hiện chèn lệnh tùy ý (command injection) trên hệ thống của người dùng thông qua một URL được tạo ra một cách độc hại. Những người bảo trì yt-dlp đánh giá tác động của lỗ hổng này là cao đối với bất kỳ ai sử dụng `--netrc-cmd` trong lệnh/cấu hình của họ hoặc `netrc_cmd` trong các tập lệnh Python của họ. Mặc dù URL được tạo ra một cách độc hại sẽ trông rất đáng ngờ đối với nhiều người dùng, nhưng sẽ rất dễ dàng để một trang web độc hại có URL khó nhận biết khai thác lỗ hổng này một cách âm thầm thông qua chuyển hướng HTTP. Người dùng không có `--netrc-cmd` trong các đối số hoặc `netrc_cmd` trong các tập lệnh của họ sẽ không bị ảnh hưởng. Chưa tìm thấy bằng chứng nào về việc khai thác này được sử dụng ngoài thực tế. Phiên bản yt-dlp 2026.02.21 khắc phục vấn đề này bằng cách xác thực tất cả các giá trị "machine" trong netrc và đưa ra lỗi khi gặp đầu vào không mong đợi. Như một giải pháp tạm thời, những người dùng không thể nâng cấp nên tránh sử dụng tùy chọn dòng lệnh `--netrc-cmd` (hoặc tham số API Python `netrc_cmd`), hoặc ít nhất là không truyền một giá trị giữ chỗ (`{}`) trong đối số `--netrc-cmd` của họ.
If you want to get best quality of vulnerability data, you may have to visit VulDB.