Vulnerabilidad en yt-dlp de youtube-dl (CVE-2024-22423)

yt-dlp es una bifurcación de youtube-dl con funciones y correcciones adicionales. El parche que solucionó CVE-2023-40581 intentó evitar RCE al usar `--exec` con `%q` reemplazando comillas dobles con dos comillas dobles. Sin embargo, este escape no es suficiente y aún permite la expansión de las variables de entorno. La compatibilidad con la expansión de la plantilla de salida en `--exec`, junto con este comportamiento vulnerable, se agregó a `yt-dlp` en la versión 2021.04.11. La versión 2024.04.09 de yt-dlp soluciona este problema al escapar correctamente de `%`. Los reemplaza con `%%cd:~,%`, una variable que se expande a nada, dejando solo el porcentaje principal. Se recomienda actualizar yt-dlp a la versión 2024.04.09 lo antes posible. Además, siempre tenga cuidado al usar `--exec`, porque si bien esta vulnerabilidad específica ha sido parcheada, usar entradas no validadas en los comandos del shell es intrínsecamente peligroso. Para los usuarios de Windows que no pueden actualizar, evite usar cualquier expansión de plantilla de salida en `--exec` que no sea `{}` (ruta de archivo); si se necesita expansión en `--exec`, verifique que los campos que está usando no contengan `"`, `|` o `&`; y/o en lugar de usar `--exec`, escriba la información json y cargue los campos de él en su lugar.