Vulnerabilidad en GitHub, Inc. (CVE-2024-38519)

`yt-dlp` es un descargador de audio/vídeo de línea de comandos. Antes de la versión 2024.07.01, `yt-dlp` no limita las extensiones de los archivos descargados, lo que podría provocar la creación de nombres de archivos arbitrarios en la carpeta de descarga (y el path traversal en Windows). Dado que `yt-dlp` también lee la configuración del directorio de trabajo (y en Windows los ejecutables se ejecutarán desde el directorio yt-dlp), esto podría provocar la ejecución de código arbitrario. La versión 2024.07.01 de `yt-dlp` soluciona este problema al incluir en la lista blanca las extensiones permitidas. Esto podría significar que algunas extensiones muy poco comunes podrían no descargarse, sin embargo, también limitará la posible superficie de explotación. Además de actualizar, coloque `.%(ext)s` al final de la plantilla de salida y asegúrese de que el usuario confíe en los sitios web desde los que realiza la descarga. Además, asegúrese de nunca descargar a un directorio dentro de PATH u otras ubicaciones confidenciales como el directorio de usuario, `system32` u otras ubicaciones de archivos binarios. Para los usuarios que no pueden actualizar, mantenga la plantilla de salida predeterminada (`-o "%(title)s [%(id)s].%(ext)s`); asegúrese de que la extensión del medio a descargar sea uno común de video/audio/sub/... trate de evitar el extractor genérico y/o use `--ignore-config --config-location...` para no cargar la configuración desde ubicaciones comunes.