CVE-2025-43858

CRÍTIC (9,2)

CVSS3: 8,3

YoutubeDLSharp és un contenidor per als descarregadors de vídeo de línia d’ordres youtube-dl i yt-dlp. En versions a partir de la 1.0.0-beta4 i anteriors a la 1.1.2, una conversió no segura d’arguments permet la injecció d’ordres malicioses en iniciar `yt-dlp` des d’una línia d’ordres que s’executa en un sistema operatiu Windows amb el valor `UseWindowsEncodingWorkaround` definit com a true (comportament per defecte). Si un usuari utilitza mètodes integrats del fitxer YoutubeDL.cs, el valor és true per defecte i un usuari no el pot desactivar.

Sistemes Afectats

• Bluegrams YoutubeDLSharp – 1.0.0-beta4 – 1.1.0

Remediació
Actualitzeu a la darrera versió de YoutubeDLSharp (1.1.2 o posterior), disponible al repositori GIT de YoutubeDLSharp. Vegeu-ne les Referències.

Referències

• https://github.com/Bluegrams/YoutubeDLSharp/security/advisories/GHSA-2jh5-g5ch-43q5
• https://github.com/Bluegrams/YoutubeDLSharp/commit/b6051372bd5af30f95f73de47d9bc71c3a07de0f
• https://github.com/Bluegrams/YoutubeDLSharp/commit/fdf3256da18d0e2da4a2f33ad4a1b72ff8273a50