検出

Python ライブラリ yt-dlp < 2026.6.9 複数の脆弱性

high Nessus プラグイン ID 321527

Language:

概要

リモートホストにインストールされている Python ライブラリは、複数の脆弱性の影響を受けます。

説明

yt-dlp Pythonパッケージの検出されたバージョンは、 2026.6.9より前です。そのため、以下の複数の脆弱性の影響を受けます。

 - yt-dlp に脆弱性が存在するため、リモートの攻撃者が、任意の OS ショートカットファイル(.desktop、.url、.webloc など)をユーザーのファイルシステムに書き込み、 CVE-2024-38519の修復をバイパスする可能性があります。
 (CVE-2026-50023)

 - aria2c が断片化されたマニフェスト形式(HLS/DASH ストリームなど)の外部ダウンローダーとして使用される場合、yt-dlp が十分にサニタイズされていない入力を aria2c に渡します。これにより、攻撃者が任意のファイル書き込みを実行する可能性があります。Windows プラットフォームでは、これにより任意のコードが即座に実行される可能性があります。非 Windows プラットフォームでは、これにより、yt-dlp の次回呼び出し時に任意のコードが実行される可能性があります。(CVE-2026-50574)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

yt-dlp バージョン 2026.6.9 以降にアップグレードしてください。

参考資料

https://advisories.gitlab.com/pypi/yt-dlp/CVE-2026-50023/

https://advisories.gitlab.com/pypi/yt-dlp/CVE-2026-50574/

プラグインの詳細

深刻度: High

ID: 321527

ファイル名: python_yt_dlp_2026_6_9.nasl

バージョン: 1.3

タイプ: Local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2026/6/19

更新日: 2026/6/25

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 7.6

現状値: 5.6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-50023

CVSS v3

リスクファクター: High

基本値: 8.3

現状値: 7.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-50574

脆弱性情報

CPE: cpe:/a:yt-dlp_project:yt-dlp

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/6/10

脆弱性公開日: 2026/6/16

参照情報

CVE: CVE-2026-50023, CVE-2026-50574

IAVB: 2026-B-0168