发布日期：2024-07-02
更新日期：2024-08-29

受影响系统：

yt-dlp yt-dlp < 2024.07.01

描述：

---

CVE(CAN) ID: CVE-2024-38519

yt-dlp是基于现在不活动的youtube-dlc的youtube-dl分支。
yt-dlp 2024.07.01之前版本存在资源传输错误漏洞，该漏洞源于程序未正确限制下载文件的扩展，攻击者可利用该漏洞在下载文件夹中创建任意文件名并实施路径遍历攻击，进而执行任意代码。

<**>

建议：

---

厂商补丁：

yt-dlp
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/dirkf/youtube-dl/security/advisories/GHSA-22fp-mf44-f2mq

浏览次数：80
严重程度：0（网友投票）