V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
DebianДистрибутивdebian

Yt-dlp

Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01596

Распределение по критичности

Критический
1
Высокий
5
Средний
0
Низкий
1
Также сопоставлено как (исходные строки): yt-dlp

Топ уязвимостей

CVE-2024-22423yt-dlp является ответвлением youtube-dl с дополнительными функциями и исправлениями. Патч, который устранил CVE-2023-40581, попытался предотвратить RCE при использовании `--exec` с `%q`, заменив двойные кавычки на две двойные кавычки. Однако это экранирование недостаточно и все еще позволяет расширение переменных окружения. Поддержка расширения шаблона вывода в `--exec`, наряду с этим уязвимым поведением, была добавлена в `yt-dlp` в версии 2021.04.11. Версия yt-dlp 2024.04.09 исправляет эту проблему, правильно экранируя `%`. Она заменяет их на `%%cd:~,%`, переменную, которая разворачивается в ничто, оставляя только ведущий процент. Рекомендуется обновить yt-dlp до версии 2024.04.09 как можно скорее. Также всегда будьте осторожны при использовании `--exec`, потому что, хотя эта конкретная уязвимость была устранена, использование непроверенного ввода в командной строке по своей природе опасно. Для пользователей Windows, которые не могут обновиться, избегайте использования любого расширения шаблона вывода в `--exec`, кроме `{}` (путь к файлу); если расширение в `--exec` необходимо, проверьте, чтобы поля, которые вы используете, не содержали `"`, `|` или `&` и/или вместо использования `--exec` запишите информацию в формате json и загружайте поля из него.
CVE-2026-26331yt-dlp - это загрузчик аудио/видео командной строки. Начиная с версии 2023.06.21 и до версии 2026.02.21, когда используется опция командной строки yt-dlp `--netrc-cmd` (или параметр API Python) yt-dlp, злоумышленник может достичь произвольного командного впрыска в системе пользователя с помощью злонамеренно созданного URL-адреса. yt-dlp сохранятели предполагают, что влияние этой уязвимости будет высоким для любого, кто использует `--netrc-cmd` в своей команде/конфигуратуреВ своих Python scripts или `netrc_cmd` в своих сценариях Python. Несмотря на то, что сам злонамеренно созданный URL-адрес будет выглядеть очень подозрительно для многих пользователей, было бы тривиально для злонамеренно созданной веб-страницы с незаметным URL-адресом скрыто использовать эту уязвимость с помощью перенаправления HTTP. Пользователи без `--netrc-cmd` в своих аргументах или `netrc_cmd` в своих сценариях не затронуты. Не было найдено никаких доказательств того, что этот эксплойт используется в дикой природе. yt-dlp версия 2026.02.21 исправляет эту проблему, проверяя все значения «машины» сети и повышая ошибку при неожиданном вводе. В качестве обходного пути пользователи, которые не могут обновиться, должны избегать использования параметра `--netrc-cmd` командной строки (или `netrc_cmd` параметра API Python), или они должны, по крайней мере, не проходить заполнителя (`{}`) в своем `--netrc-cmd` аргументе.
CVE-2023-35934yt-dlp - это программа командной строки для загрузки видео с видеосайтов. Во время загрузки файлов yt-dlp или внешние загрузчики, которые использует yt-dlp, могут утекать куки на HTTP-перенаправлениях на другой хост или утекать их, когда хост для фрагментов загрузки отличается от хоста их родительского манифеста. Это уязвимое поведение присутствует в yt-dlp до 2023.07.06 и ночной сборке 2023.07.06.185519. Все родные и внешние загрузчики подвержены этому, кроме `curl` и `httpie` (версии 3.1.0 или новее). На этапе загрузки файла все куки передаются yt-dlp загрузчику файла в качестве заголовка `Cookie`, тем самым теряя своей область действия. Это также происходит в выходных данных JSON информации yt-dlp, которые могут использоваться внешними инструментами. В результате загрузчик или внешний инструмент могут безразлично отправлять куки с запросами к доменам или путям, к которым куки не имеют отношения. Версии yt-dlp 2023.07.06 и ночная сборка 2023.07.06.185519 исправляют эту проблему, удаляя заголовок `Cookie` при HTTP-перенаправлениях; позволяя родным загрузчикам вычислять заголовок `Cookie` из cookiejar, используя встроенную поддержку куки внешних загрузчиков вместо передачи их в виде аргументов заголовка, отключая HTTP-перенаправление, если внешний загрузчик не поддерживает куки, обрабатывая куки, переданные в виде HTTP-заголовков, чтобы ограничить их область действия, и имея отдельное поле для куки в словаре информации, хранящем больше информации о области действия. Некоторые обходные пути доступны для тех, кто не может обновиться. Избегайте использования куки и методов аутентификации пользователя. Хотя экстракторы могут устанавливать пользовательские куки, обычно они не содержат конфиденциальной информации. В качестве альтернативы избегайте использования `--load-info-json`. Или, если аутентификация необходима: проверьте целостность ссылок загрузки из неизвестных источников в браузере (включая перенаправления) перед передачей их в yt-dlp; используйте `curl` в качестве внешнего загрузчика, так как он не подвержен воздействию; и/или избегайте фрагментированных форматов, таких как HLS/m3u8, DASH/mpd и ISM.
CVE-2025-54072yt-dlp - это инструмент командной строки для загрузки аудио/видео. В версиях до 2025.07.21 при использовании опции --exec на Windows с дефолтным плейсхолдером (или {}) недостаточная санация применяется к расширенному пути файла, что позволяет выполнить произвольный код. Это обход исправления для CVE-2024-22423, где дефолтный плейсхолдер и {} не были покрыты новыми правилами экранирования. Пользователям Windows, которые не могут обновиться, рекомендуется избегать использования --exec. Вместо этого можно использовать опции --write-info-json или --dump-json с внешним скриптом или командой, потребляющей JSON-выхлоп [1]. Источники: - [1] https://github.com/yt-dlp/yt-dlp/security/advisories/GHSA-45hg-7f49-5h56 - [2] https://github.com/yt-dlp/yt-dlp/commit/959ac99e98c3215437e573c22d64be42d361e863 - [3] https://github.com/yt-dlp/yt-dlp/releases/tag/2025.07.21
CVE-2024-38519`yt-dlp` и `youtube-dl` - это утилиты командной строки для скачивания аудио/видео. До исправленных версий `yt-dlp` и `youtube-dl` не ограничивают расширения скачиваемых файлов, что может привести к созданию произвольных имен файлов в папке загрузки (и обходу пути в Windows). Поскольку `yt-dlp` и `youtube-dl` также считывают конфигурацию из рабочего каталога (а в Windows исполняемые файлы будут выполняться из каталога `yt-dlp` или `youtube-dl`), это может привести к выполнению произвольного кода. Версия `yt-dlp` 2024.07.01 устраняет эту проблему, добавляя в белый список разрешенные расширения. `youtube-dl` исправляет эту проблему в коммите `d42a222` в ветке `master` и в ночных сборках с тегами 2024-07-03 или более поздних версиях. Это может означать, что некоторые очень необычные расширения не будут загружены, однако это также ограничит возможную поверхность для эксплуатации. В дополнение к обновлению, добавьте `.%(ext)s` в конце шаблона вывода и убедитесь, что пользователь доверяет веб-сайтам, с которых он загружает файлы. Кроме того, убедитесь, что вы никогда не загружаете файлы в каталог в PATH или другие конфиденциальные места, такие как пользовательский каталог, `system32` или другие места расположения двоичных файлов. Для пользователей, которые не могут обновиться, сохраните шаблон вывода по умолчанию (`-o "%(title)s [%(id)s].%(ext)s`); убедитесь, что расширение загружаемого медиафайла является распространенным видео/аудио/субтитрами/...; постарайтесь избегать универсального экстрактора; и/или используйте `--ignore-config --config-location ...`, чтобы не загружать конфигурацию из общих мест.
CVE-2023-40581yt-dlp — это форк youtube-dl с дополнительными функциями и исправлениями. yt-dlp позволяет пользователю предоставлять командные строки оболочки для выполнения на различных этапах загрузки с помощью флага `--exec`. Этот флаг позволяет расширять шаблон вывода в его аргументе, чтобы значения метаданных можно было использовать в командах оболочки. Поля метаданных можно комбинировать с преобразованием `%q`, которое предназначено для заключения в кавычки/экранирования этих значений, чтобы их можно было безопасно передать в оболочку. Однако экранирование, используемое для `cmd` (оболочки, используемой `subprocess` Python в Windows), неправильно экранирует специальные символы, что может привести к удаленному выполнению кода, если `--exec` используется непосредственно с вредоносными удаленными данными. Эта уязвимость затрагивает только `yt-dlp` в Windows, и уязвимость присутствует независимо от того, запускается ли `yt-dlp` из `cmd` или из `PowerShell`. Поддержка расширения шаблона вывода в `--exec`, а также это уязвимое поведение были добавлены в `yt-dlp` в версии 2021.04.11. yt-dlp версии 2023.09.24 исправляет эту проблему путем правильного экранирования каждого специального символа. `\n` будет заменен на `\r`, так как не было найдено способа его экранирования. Рекомендуется как можно скорее обновить yt-dlp до версии 2023.09.24. Кроме того, всегда будьте осторожны при использовании --exec, потому что, хотя эта конкретная уязвимость была исправлена, использование непроверенного ввода в командах оболочки по своей сути опасно. Для пользователей Windows, которые не могут обновиться: 1. Избегайте использования каких-либо расширений шаблона вывода в --exec, кроме {} (filepath). 2. Если расширение в --exec необходимо, убедитесь, что используемые поля не содержат ", | или &. 3. Вместо использования --exec запишите info json и загрузите поля из него.
CVE-2023-46121yt-dlp — это форк youtube-dl с дополнительными функциями и исправлениями. Generic Extractor в yt-dlp уязвим для злоумышленника, устанавливающего произвольный прокси для запроса к произвольному URL-адресу, что позволяет злоумышленнику MITM-атаковать запрос, сделанный из HTTP-сессии yt-dlp. В некоторых случаях это может привести к эксфильтрации файлов cookie. В версии 2023.11.14 была удалена возможность контрабанды `http_headers` в Generic Extractor, а также в другие экстракторы, использующие тот же шаблон. Пользователям рекомендуется выполнить обновление. Пользователям, которые не могут выполнить обновление, следует отключить Ggneric extractor (или передавать только доверенные сайты с доверенным контентом) и проявлять осторожность при использовании `--no-check-certificate`.
CVE-2026-50574CVE-2026-50574
CVE-2026-50023CVE-2026-50023
CVE-2026-50019CVE-2026-50019
Перейти к вендору →Открыть в каталоге с фильтром по продукту →