关键信息 漏洞概述 漏洞类型: 任意命令注入 受影响版本: 已修复版本: CVE ID: CVE-2026-26331 CVSS v3 基准分: 8.8 / 10 漏洞详情 描述: 在使用 命令行选项(或 Python API 参数)时,攻击者可以通过恶意构造的 URL 在用户系统上实现任意命令注入。 影响: 任何在其命令/配置或脚本中使用 的用户将直接受到影响。尽管恶意 URL 本身可能显得可疑,攻击者仍可通过 HTTP 重定向进行隐蔽攻击。 补丁: yt-dlp 2026.02.21 版本通过验证所有 "machine" 值并在遇到意外输入时抛出错误修复此问题。 变通方法: 尽快升级至 yt-dlp 2026.02.21 版本,或避免使用 命令行选项(或 参数),至少不要在 参数中传递占位符 。 详细信息 选项用于运行任意命令检索站点登录凭证,无需将凭证存储为纯文本。如果参数中包含占位符 ,将被 值替换,可能导致特殊字符在宿主 Shell 中被误解析。 在 yt-dlp 的四个提取器中,当 值需从站点主机名动态获取时,如果允许通配符匹配一个或多个子域名,将会导致 值中包含特殊 Shell 字符。 虽然只有 3 个提取器直接易受攻击,但 提取器会跟随 HTTP 重定向,因此可能导致任意 URL 最终与易受攻击的提取器匹配。 参考 GHSA: https://github.com/advisories/GHSA-g3qw-q23r-pgqm CVE Detail: https://nvd.nist.gov/vuln/detail/CVE-2026-26331 Release Tag: https://github.com/yt-dlp/yt-dlp/releases/tag/2026.02.21