Python 程式庫 yt-dlp < 2026.6.9 多個弱點
high Nessus Plugin ID 321527
語言:
概要
遠端主機上安裝的 Python 程式庫受到多個弱點影響。說明
偵測到的 yt-dlp Python 套件版本早於 2026.6.9。因此,會受到多個弱點影響:- yt-dlp 中存在弱點,遠端攻擊者可利用此弱點,繞過 的 CVE-2024-38519修復,將任意作業系統捷徑檔案 (例如 .desktop、.url、.webloc) 寫入使用者的檔案系統。
(CVE-2026-50023)
- 如果 aria2c 用作片段資訊清單格式 (例如 HLS/DASH 串流) 的外部下載器,則 yt-dlp 會將未充分清理的輸入傳遞給 aria2c,從而允許攻擊者執行任意檔案寫入。在 Windows 平台上,這可能會導致立即執行任意程式碼。在非 Windows 平台上,這可能會導致下次叫用 yt-dlp 時執行任意程式碼。(CVE-2026-50574)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 yt-dlp 版本或更新版本 2026.6.9 。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 321527
檔案名稱: python_yt_dlp_2026_6_9.nasl
版本: 1.3
類型: Local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2026/6/19
已更新: 2026/6/25
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 7.3
CVSS v2
風險因素: High
基本分數: 7.6
時間性分數: 5.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2026-50023
CVSS v3
風險因素: High
基本分數: 8.3
時間性分數: 7.2
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2026-50574
弱點資訊
CPE: cpe:/a:yt-dlp_project:yt-dlp
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/6/10
弱點發布日期: 2026/6/16
參考資訊
CVE: CVE-2026-50023, CVE-2026-50574
IAVB: 2026-B-0168