JVNDB-2026-005175

yt-dlp projectのyt-dlpにおけるOS コマンドインジェクションの脆弱性

yt-dlpはコマンドラインの音声/ビデオダウンローダーです。バージョン2023.06.21から2026.02.21未満の期間に、yt-dlpの`--netrc-cmd`コマンドラインオプション（または`netrc_cmd` Python APIパラメータ）が使用された場合に、攻撃者が悪意のあるURLを用いてユーザーのシステム上で任意のコマンドを注入できる可能性がありました。yt-dlpのメンテナは、この脆弱性の影響を、コマンドや設定で`--netrc-cmd`を使用する人やPythonスクリプト内で`netrc_cmd`を使う人にとって高いと評価しています。悪意のあるURL自体は多くのユーザーにとって非常に疑わしく見えますが、目立たないURLを持つ悪意のあるウェブページがHTTPリダイレクトを介してこの脆弱性を密かに悪用することは容易でした。引数に`--netrc-cmd`が含まれていないユーザーやスクリプトで`netrc_cmd`を使用していないユーザーには影響がありません。この脆弱性の悪用が実際に確認された証拠は見つかっていません。yt-dlpのバージョン2026.02.21では、すべてのnetrcの"machine"値を検証し、予期しない入力があった場合にエラーを発生させることでこの問題を修正しました。アップグレードできないユーザーは、ワークアラウンドとして`--netrc-cmd`コマンドラインオプション（または`netrc_cmd` Python APIパラメータ）を使用しないか、少なくとも`--netrc-cmd`引数にプレースホルダー(`{}`)を渡さないようにしてください。

yt-dlp project

• yt-dlp 2023.06.21 以上 2026.02.21 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Arbitrary command injection with the `--netrc-cmd` option in yt-dlp  Advisory  yt-dlp/yt-dlp  GitHub

1. OSコマンドインジェクション(CWE-78) [その他]

1. CVE-2026-26331

1. National Vulnerability Database (NVD) : CVE-2026-26331
2. 関連文書 : Release yt-dlp 2026.02.21  yt-dlp/yt-dlp  GitHub
3. 関連文書 : [ie] Limit `netrc_machine` parameter to shell-safe characters  yt-dlp/yt-dlp@1fbbe29  GitHub

• [2026年02月27日]
    掲載