Python 库 yt-dlp < 2026.6.9 多种漏洞
high Nessus 插件 ID 321527
语言:
简介
远程主机上安装的 Python 库受到多个漏洞的影响。描述
检测到的 yt-dlp Python 程序包版本低于 2026.6.9. 因此,该应用程序受到多个漏洞的影响:- yt-dlp 中存在一个漏洞,允许远程攻击者将任意操作系统快捷方式文件(例如 .desktop、.url、.webloc)写入用户的文件系统,从而绕过 的修复 CVE-2024-38519。
(CVE-2026-50023)
- 如果 aria2c 用作碎片化清单格式(如 HLS/DASH 流)的外部下载器,yt-dlp 会将未充分审查的输入传递到 aria2c,从而允许攻击者执行任意文件写入。在 Windows 平台上,这可导致立即执行任意代码。在非 Windows 平台上,这可导致下次调用 yt-dlp 时执行任意代码。(CVE-2026-50574)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 yt-dlp 版本或更高版本 2026.6.9 。另见
插件详情
严重性: High
ID: 321527
文件名: python_yt_dlp_2026_6_9.nasl
版本: 1.3
类型: Local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/6/19
最近更新时间: 2026/6/25
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.3
CVSS v2
风险因素: High
基本分数: 7.6
时间分数: 5.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2026-50023
CVSS v3
风险因素: High
基本分数: 8.3
时间分数: 7.2
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2026-50574
漏洞信息
CPE: cpe:/a:yt-dlp_project:yt-dlp
易利用性: No known exploits are available
补丁发布日期: 2026/6/10
漏洞发布日期: 2026/6/16
参考资料信息
CVE: CVE-2026-50023, CVE-2026-50574
IAVB: 2026-B-0168