Vulnerabilidad en YoutubeDLSharp (CVE-2025-43858)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

24/04/2025

Última modificación:

29/04/2025

Descripción

YoutubeDLSharp es un contenedor para los descargadores de vídeo de línea de comandos youtube-dl y yt-dlp. En versiones a partir de la 1.0.0-beta4 y anteriores a la 1.1.2, una conversión insegura de argumentos permite la inyección de comandos maliciosos al iniciar `yt-dlp` desde un símbolo del sistema en Windows con el valor `UseWindowsEncodingWorkaround` definido como verdadero (comportamiento predeterminado). Si un usuario utiliza métodos integrados del archivo YoutubeDL.cs, el valor es verdadero por defecto y no se puede desactivar desde estos métodos. Este problema se ha corregido en la versión 1.1.2.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.20 CRÍTICA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

9.20

Gravedad 3.x

CRÍTICA

Vulnerabilidad en YoutubeDLSharp (CVE-2025-43858)

Descripción

Impacto

Referencias a soluciones, herramientas e información