Vulnerabilidad en yt-dlp de youtube-dl (CVE-2023-46121)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

15/11/2023

Última modificación:

22/11/2023

Descripción

yt-dlp es una bifurcación de youtube-dl con funciones y correcciones adicionales. The Generic Extractor en yt-dlp es vulnerable a que un atacante configure un proxy arbitrario para una solicitud en una URL arbitraria, lo que le permite al atacante realizar MITM la solicitud realizada desde la sesión HTTP de yt-dlp. En algunos casos, esto podría provocar la exfiltración de cookies. La versión 2023.11.14 eliminó la capacidad de pasar de contrabando `http_headers` al extractor genérico, así como a otros extractores que usan el mismo patrón. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben desactivar el extractor Ggneric (o solo pasar por sitios confiables con contenido confiable) y tener cuidado al usar `--no-check-certificate`.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.70 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno