CVE-2024-38519

Versões do yt-dlp anteriores a 01/07/2024

Versões do youtube-dl anteriores a 03/07/2024

O problema diz respeito aos downloaders de áudio/vídeo de linha de comando yt-dlp e youtube-dl. Antes das versões corrigidas, essas ferramentas não limitavam as extensões dos arquivos baixados, o que poderia levar à criação de nomes de arquivos arbitrários na pasta de downloads e à traversal de caminho no Windows. Como o yt-dlp e o youtube-dl também leem a configuração do diretório de trabalho, isso poderia levar à execução de código arbitrário. Para mitigar isso, os usuários devem incluir .%(ext)s no final do modelo de saída, confiar nos sites dos quais fazem downloads e evitar baixar para locais sensíveis.

Para versões do yt-dlp anteriores a 01/07/2024, atualize para a versão 2024.07.01 ou posterior.

Para versões do youtube-dl anteriores a 03/07/2024, atualize para uma compilação noturna marcada como 03/07/2024 ou posterior.

Para usuários que não podem atualizar, mantenha o modelo de saída padrão, certifique-se de que a extensão da mídia seja comum, evite o extrator genérico e use --ignore-config --config-location ... para não carregar a configuração de locais comuns.