製品・ソフトウェアに関する情報
Vulnerability Search
yt-dlp projectのyt-dlpにおけるファイルおよびその他のリソース名の不適切な制限に関する脆弱性
Title yt-dlp projectのyt-dlpにおけるファイルおよびその他のリソース名の不適切な制限に関する脆弱性
Summary

yt-dlpはコマンドラインの音声および動画ダウンローダーです。2026年6月9日以前のバージョンには、リモートの攻撃者が任意のOSショートカットファイル(.desktop、.url、.weblocなど)をユーザーのファイルシステムに書き込むことを許す脆弱性が存在しており、この問題は2026年6月9日に修正されました。これにより、許可リストに含まれていた安全でない拡張子のファイルが悪用され、攻撃者が悪意のあるショートカットファイルを書き込む可能性がありました。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 23, 2026, midnight
Registration Date June 29, 2026, 11:13 a.m.
Last Update June 29, 2026, 11:13 a.m.
CVSS3.0 : 緊急
Score 9.6
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Affected System
yt-dlp project
yt-dlp 2026.06.09 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月29日]
  掲載		 June 29, 2026, 11:13 a.m.
NVD Vulnerability Information
CVE-2026-50023
Summary

yt-dlp is a command-line audio/video downloader. Prior to 2026.06.09, a vulnerability exists in yt-dlp that allows a remote attacker to write arbitrary OS-shortcut files (such as .desktop, .url, .webloc) to the user's filesystem, bypassing the remediation for CVE-2024-38519. The allowlist explicitly included the unsafe extensions .desktop, .url, and .webloc so that the functionality of the --write-link option (and its variants) could be preserved. These allowlist inclusions can be exploited by an attacker to write malicious OS-shortcut files in the context of a media or subtitles download. This vulnerability is fixed in 2026.06.09.

Publication Date June 24, 2026, 2:17 a.m.
Registration Date June 27, 2026, 4:14 a.m.
Last Update June 27, 2026, 5:12 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:yt-dlp_project:yt-dlp:*:*:*:*:*:*:*:* 2026.06.09
Related information, measures and tools
Common Vulnerabilities List