CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-43858

Critical
Published: Translated: NVD NIST

Summary

YoutubeDLSharp to wrapper dla narzędzi do pobierania wideo z linii poleceń, takich jak youtube-dl i yt-dlp. W wersjach od 1.0.0-beta4 do 1.1.2 występuje niebezpieczna konwersja argumentów, która umożliwia wstrzyknięcie złośliwych poleceń podczas uruchamiania `yt-dlp` w systemie Windows z włączonym domyślnym ustawieniem `UseWindowsEncodingWorkaround` na true.

Risk Assessment

Organizacje mogą być narażone na ataki, które wykorzystują tę podatność do uruchamiania złośliwych poleceń na systemach Windows, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację do wersji 1.1.2 lub nowszej, aby usunąć tę podatność oraz przeglądanie i ograniczenie użycia wbudowanych metod z pliku YoutubeDL.cs.

Original NVD description (English source)

YoutubeDLSharp is a wrapper for the command-line video downloaders youtube-dl and yt-dlp. In versions starting from 1.0.0-beta4 and prior to 1.1.2, an unsafe conversion of arguments allows the injection of a malicious commands when starting `yt-dlp` from a commands prompt running on Windows OS with the `UseWindowsEncodingWorkaround` value defined to true (default behavior). If a user is using built-in methods from the YoutubeDL.cs file, the value is true by default and a user cannot disable it from these methods. This issue has been patched in version 1.1.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS