Python 库 yt-dlp < 2026.7.4 命令注入

high Nessus 插件 ID 327412

语言:

简介

远程主机上安装的 Python 库受到一个命令注入漏洞的影响。

描述

检测到 yt-dlp Python 程序包的版本低于 2026.7.4。因此,它受到一个命令注入漏洞的影响。yt-dlp 和 youtube-dl 是命令行音频/视频下载程序。在 2026.7.4 之前,
--write-link、--write-url-link 以及 --write-desktop-link 选项可在未经充分验证或转义的情况下使用攻击者控制的 webpage_url 或文件名元数据写入 .url 或 .desktop 快捷方式文件,从而允许在 Windows 上进行恶意 file:// URI 注入,或在打开生成的快捷方式时可在基于换行符的桌面条目键注入 Linux 上执行命令。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 yt-dlp 2026.7.4 或更高版本。

另见

http://www.nessus.org/u?b24d747d

插件详情

严重性: High

ID: 327412

文件名: python_yt_dlp_2026_7_4.nasl

版本: 1.2

类型: Local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2026/7/16

最近更新时间: 2026/7/17

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.9

百分位: 58.14

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-55404

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:yt-dlp_project:yt-dlp

易利用性: No known exploits are available

补丁发布日期: 2026/7/4

漏洞发布日期: 2026/7/4

参考资料信息

CVE: CVE-2026-55404