Pukkandan

**Nome do software vulnerável e versões afetadas** Versões do yt-dlp anteriores a 01/07/2024 Versões do youtube-dl anteriores a 03/07/2024 **Descrição** O problema diz respeito aos downloaders de áudio/vídeo de linha de comando `yt-dlp` e `youtube-dl`. Antes das versões corrigidas, essas ferramentas não limitavam as extensões dos arquivos baixados, o que poderia levar à criação de nomes de arquivos arbitrários na pasta de downloads e à traversal de caminho no Windows. Como o `yt-dlp` e o `youtube-dl` também leem a configuração do diretório de trabalho, isso poderia levar à execução de código arbitrário. Para mitigar isso, os usuários devem incluir `.%(ext)s` no final do modelo de saída, confiar nos sites dos quais fazem downloads e evitar baixar para locais sensíveis. **Recomendações** Para versões do `yt-dlp` anteriores a 01/07/2024, atualize para a versão 2024.07.01 ou posterior. Para versões do `youtube-dl` anteriores a 03/07/2024, atualize para uma compilação noturna marcada como 03/07/2024 ou posterior. Para usuários que não podem atualizar, mantenha o modelo de saída padrão, certifique-se de que a extensão da mídia seja comum, evite o extrator genérico e use `--ignore-config --config-location ...` para não carregar a configuração de locais comuns.