CVE-2025-43858
KrytyczneStreszczenie
YoutubeDLSharp to wrapper dla narzędzi do pobierania wideo z linii poleceń, takich jak youtube-dl i yt-dlp. W wersjach od 1.0.0-beta4 do 1.1.2 występuje niebezpieczna konwersja argumentów, która umożliwia wstrzyknięcie złośliwych poleceń podczas uruchamiania `yt-dlp` w systemie Windows z włączonym domyślnym ustawieniem `UseWindowsEncodingWorkaround` na true.
Ocena ryzyka
Organizacje mogą być narażone na ataki, które wykorzystują tę podatność do uruchamiania złośliwych poleceń na systemach Windows, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację do wersji 1.1.2 lub nowszej, aby usunąć tę podatność oraz przeglądanie i ograniczenie użycia wbudowanych metod z pliku YoutubeDL.cs.
Oryginalny opis (angielski, źródło NVD)
YoutubeDLSharp is a wrapper for the command-line video downloaders youtube-dl and yt-dlp. In versions starting from 1.0.0-beta4 and prior to 1.1.2, an unsafe conversion of arguments allows the injection of a malicious commands when starting `yt-dlp` from a commands prompt running on Windows OS with the `UseWindowsEncodingWorkaround` value defined to true (default behavior). If a user is using built-in methods from the YoutubeDL.cs file, the value is true by default and a user cannot disable it from these methods. This issue has been patched in version 1.1.2.

