yt-dlp: Arbitrary file write via aria2c in fragmented manifests (CVE-2026-XXXX)

Versões do yt-dlp anteriores a 2026.06.09 permitem escrita arbitrária de arquivos via aria2c ao baixar manifests fragmentados (HLS/DASH). Atacantes podem injetar opções no arquivo de entrada do aria2c através de manifests DASH maliciosos (usando escape de nova linha HTML) ou por campos de metadados com quebras de linha (se --no-windows-filename estiver ativo). No Windows, isso pode levar a execução imediata de código arbitrário; em todas as plataformas, pode levar a execução de código na próxima invocação do yt-dlp ao escrever um arquivo de configuração malicioso.

Usuários do yt-dlp que usam aria2c como downloader externo para streams HLS/DASH.

Atualize para yt-dlp versão 2026.06.09 ou superior. Se não puder atualizar, adicione '--downloader dash,m3u8:native' ao seu comando.