製品・ソフトウェアに関する情報
Vulnerability Search
yt-dlp projectのyt-dlpにおける情報漏えいに関する脆弱性
Title yt-dlp projectのyt-dlpにおける情報漏えいに関する脆弱性
Summary

yt-dlpはコマンドラインの音声・動画ダウンローダーです。2023年9月24日から2026年6月9日までの間に、yt-dlpの外部ダウンローダーとしてcurlが使用されている場合、HTTPリダイレクト時やダウンロード断片のホストが親マニフェストのホストと異なる場合に、クッキーが意図しないホストに漏洩する可能性がありました。ファイルのダウンロード段階で、クッキーはyt-dlpから--cookie経由でファイルダウンローダーに渡されます。しかし、これらがファイルから読み込まれない限り、この操作はクッキーエンジンを起動しません。その結果、curlはクッキーのスコープ外のドメインやパスへのリクエストにもクッキーを送信してしまいます。この脆弱性は2026年6月9日に修正されました。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 23, 2026, midnight
Registration Date June 29, 2026, 11:13 a.m.
Last Update June 29, 2026, 11:13 a.m.
CVSS3.0 : 重要
Score 7.4
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
Affected System
yt-dlp project
yt-dlp 2023.09.24 以上 2026.06.09 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年06月29日]
  掲載		 June 29, 2026, 11:13 a.m.
NVD Vulnerability Information
CVE-2026-50019
Summary

yt-dlp is a command-line audio/video downloader. From 2023.09.24 until 2026.06.09, if curl is used as an external downloader for yt-dlp, cookies may be leaked to an unintended host upon HTTP redirect or when the host for download fragments differs from their parent manifest's. At the file download stage, the cookies are passed by yt-dlp to the file downloader via --cookie. However, unless these are loaded from a file, this operation does not activate the cookie engine. As a result, curl will send cookies with requests to domains or paths for which the cookies are not scoped. This vulnerability is fixed in 2026.06.09.

Publication Date June 24, 2026, 2:17 a.m.
Registration Date June 27, 2026, 4:14 a.m.
Last Update June 27, 2026, 5:12 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:yt-dlp_project:yt-dlp:*:*:*:*:*:*:*:* 2023.09.24 2026.06.09
Related information, measures and tools
Common Vulnerabilities List