Python Library yt-dlp < 2026.6.9 の複数の脆弱性

critical Nessus プラグイン ID 321527

概要

リモートホストにインストールされている Python ライブラリは、複数の脆弱性の影響を受けます。

説明

検出された yt-dlp Python パッケージのバージョンは、2026.6.9 より前です。そのため、以下の複数の脆弱性の影響を受けます。

yt-dlp には、リモート攻撃者がユーザーのファイルシステムに任意の OS ショートカットファイル (.desktop、.url、.webloc など) を書き込める脆弱性が存在し、CVE-2024-38519 に対する修正をバイパスする可能性があります。
(CVE-2026-50023)

- aria2c がフラグメント化されたマニフェスト形式 (HLS/DASH ストリームなど) の外部ダウンローダーとして使用される場合、yt-dlp は十分にサニタイズされていない入力を aria2c に渡すため、攻撃者が任意のファイル書き込みを行うことが可能です。Windows プラットフォームでは、これにより任意のコードが即座に実行される可能性があります。非 Windows プラットフォームでは、これにより、yt-dlp の次回呼び出し時に任意のコードが実行される可能性があります。(CVE-2026-50574)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

yt-dlp をバージョン 2026.6.9 以降にアップグレードしてください。

参考資料

https://advisories.gitlab.com/pypi/yt-dlp/CVE-2026-50023/

https://advisories.gitlab.com/pypi/yt-dlp/CVE-2026-50574/

プラグインの詳細

深刻度: Critical

ID: 321527

ファイル名: python_yt_dlp_2026_6_9.nasl

バージョン: 1.4

タイプ: Local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2026/6/19

更新日: 2026/7/3

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5

パーセンタイル: 94.18

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-50574

CVSS v3

リスクファクター: Critical

基本値: 9.6

現状値: 8.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:yt-dlp_project:yt-dlp

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/10

脆弱性公開日: 2026/6/16

参照情報

CVE: CVE-2026-50023, CVE-2026-50574

IAVB: 2026-B-0168