CVE-2026-44353

Nome do Software Vulnerável e Versões Afetadas streamlink versões anteriores a 8.4.0

Descrição Os analisadores HLS e DASH do Streamlink não validam o esquema URI de entradas de segmento e outros recursos. Um invasor remoto pode hospedar uma lista de reprodução HLS .m3u8 ou um manifesto DASH .mpd malicioso que liste arquivos locais usando o esquema file:///. Quando o Streamlink processa tal manifesto, ele lê os arquivos locais especificados — como chaves privadas, credenciais ou arquivos de sistema como /etc/passwd — e grava seu conteúdo no fluxo ou arquivo de saída. Isso ocorre porque as URIs de segmento são passadas para o worker sem uma lista de permissões de esquema, e a sessão HTTP subjacente aceita URIs file:// que são resolvidas no sistema de arquivos local.

Recomendações Atualize para a versão 8.4.0 ou posterior. Como medida paliativa temporária, evite processar listas de reprodução HLS ou manifestos DASH de fontes remotas ou não confiáveis.