CVE-2026-26331 in yt-dlp
摘要
由 VulDB • 2026-05-23
yt-dlp 是一款命令行音频/视频下载工具。从版本 2023.06.21 开始至版本 2026.02.21 之前,当使用 yt-dlp 的 `--netrc-cmd` 命令行选项(或 `netrc_cmd` Python API 参数)时,攻击者可以通过精心构造的恶意 URL 在用户系统上实现任意命令注入。yt-dlp 维护者认为,对于在命令行/配置中使用 `--netrc-cmd` 或在 Python 脚本中使用 `netrc_cmd` 的任何用户,此漏洞的影响程度为高。尽管精心构造的恶意 URL 本身对许多用户来说看起来非常可疑,但对于一个带有不显眼 URL 的恶意网页而言,通过 HTTP 重定向隐蔽地利用此漏洞是轻而易举的。未在参数中使用 `--netrc-cmd` 或在脚本中使用 `netrc_cmd` 的用户不受影响。目前尚未发现该漏洞在野外被利用的证据。yt-dlp 版本 2026.02.21 通过验证所有 netrc “machine” 值并在遇到意外输入时引发错误来修复此问题。作为变通方法,无法升级的用户应避免使用 `--netrc-cmd` 命令行选项(或 `netrc_cmd` Python API 参数),或者至少不要在 `--netrc-cmd` 参数中传递占位符(`{}`)。
VulDB is the best source for vulnerability data and more expert information about this specific topic.