python · yt-dlpCrítico
yt-dlp: Vulnerabilidade de injeção de comando no --exec
A opção --exec do yt-dlp era vulnerável a injeção arbitrária de comandos ao usar conversões de formatação de string inseguras (ex.
O que mudou
A opção --exec do yt-dlp era vulnerável a injeção arbitrária de comandos ao usar conversões de formatação de string inseguras (ex.: %()s) em metadados não confiáveis. Corrigido na versão 2026.06.09 restringindo as conversões permitidas às seguras.
Quem isso afeta
Usuários que passam um modelo de comando --exec contendo conversões inseguras (%()s, %()a, %()r, %()j, %()S) no comando ou arquivo de configuração do yt-dlp.
O que fazer hoje
Atualize o yt-dlp para a versão 2026.06.09 ou superior, ou garanta que apenas conversões seguras (%()d, %()i, %()f, %()q) sejam usadas em modelos --exec, ou evite usar --exec com sintaxe de modelo de saída.
A esteira
Coletado→
Auditado→
Redigido→
Publicado