CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-66203

Critical
Published: Translated: NVD NIST

Summary

StreamVault to rozwiązanie do integracji pobierania wideo. Przed wersją 251126 występuje podatność na zdalne wykonanie kodu (RCE) w aplikacji stream-vault (SpiritApplication), która pozwala administratorom na konfigurowanie argumentów yt-dlp bez odpowiedniej walidacji.

Risk Assessment

Podatność ta może prowadzić do zdalnego wykonania kodu przez nieautoryzowane osoby, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Recommendation

Zaleca się aktualizację aplikacji do wersji 251126 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów walidacji dla konfigurowanych argumentów.

Original NVD description (English source)

StreamVault is a video download integration solution. Prior to version 251126, a Remote Code Execution (RCE) vulnerability exists in the stream-vault application (SpiritApplication). The application allows administrators to configure yt-dlp arguments via the /admin/api/saveConfig endpoint without sufficient validation. These arguments are stored globally and subsequently used in YtDlpUtil.java when constructing the command line to execute yt-dlp. This issue has been patched in version 251126.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS