yt-dlp: vulnerabilidade permite escrita arbitrária de arquivos de atalho (CVE-2024-38519 bypass)

Uma vulnerabilidade no yt-dlp permite que atacantes remotos escrevam arquivos de atalho do SO (.desktop, .url, .webloc) no sistema de arquivos do usuário, contornando a correção do CVE-2024-38519. A correção na versão 2026.06.09 remove essas extensões da lista de permissões global e as restringe à opção --write-link.

Todos os usuários do yt-dlp que baixam mídia ou legendas, especialmente os que usam --write-subs, --write-auto-subs, --embed-subs, --write-thumbnail, --write-all-thumbnails ou --embed-thumbnail.

Atualize o yt-dlp para a versão 2026.06.09 imediatamente. Se não puder atualizar, passe apenas URLs confiáveis e evite usar as opções listadas.