4Tkd0G

**Nome do Software Vulnerável e Versões Afetadas** streamlink versões anteriores a 8.4.0 **Descrição** Os analisadores HLS e DASH do Streamlink não validam o esquema URI de entradas de segmento e outros recursos. Um invasor remoto pode hospedar uma lista de reprodução HLS `.m3u8` ou um manifesto DASH `.mpd` malicioso que liste arquivos locais usando o esquema `file:///`. Quando o Streamlink processa tal manifesto, ele lê os arquivos locais especificados — como chaves privadas, credenciais ou arquivos de sistema como `/etc/passwd` — e grava seu conteúdo no fluxo ou arquivo de saída. Isso ocorre porque as URIs de segmento são passadas para o worker sem uma lista de permissões de esquema, e a sessão HTTP subjacente aceita URIs `file://` que são resolvidas no sistema de arquivos local. **Recomendações** Atualize para a versão 8.4.0 ou posterior. Como medida paliativa temporária, evite processar listas de reprodução HLS ou manifestos DASH de fontes remotas ou não confiáveis.