CVE-2023-35934 | yt-dlp File Downloader cookie leak

yt-dlp is a command-line program to download videos from video sites. During file downloads, yt-dlp or the external downloaders that yt-dlp employs may leak cookies on HTTP redirects to a different host, or leak them when the host for download fragments differs from their parent manifest's host. This vulnerable behavior is present in yt-dlp prior to 2023.07.06 and nightly 2023.07.06.185519. All native and external downloaders are affected, except for `curl` and `httpie` (version 3.1.0 or later). At the file download stage, all cookies are passed by yt-dlp to the file downloader as a `Cookie` header, thereby losing their scope. This also occurs in yt-dlp's info JSON output, which may be used by external tools. As a result, the downloader or external tool may indiscriminately send cookies with requests to domains or paths for which the cookies are not scoped. yt-dlp version 2023.07.06 and nightly 2023.07.06.185519 fix this issue by removing the `Cookie` header upon HTTP redirects; having native downloaders calculate the `Cookie` header from the cookiejar, utilizing external downloaders' built-in support for cookies instead of passing them as header arguments, disabling HTTP redirectiong if the external downloader does not have proper cookie support, processing cookies passed as HTTP headers to limit their scope, and having a separate field for cookies in the info dict storing more information about scoping Some workarounds are available for those who are unable to upgrade. Avoid using cookies and user authentication methods. While extractors may set custom cookies, these usually do not contain sensitive information. Alternatively, avoid using `--load-info-json`. Or, if authentication is a must: verify the integrity of download links from unknown sources in browser (including redirects) before passing them to yt-dlp; use `curl` as external downloader, since it is not impacted; and/or avoid fragmented formats such as HLS/m3u8, DASH/mpd and ISM.

公開: 2023-07-06 最終更新: 2026-06-17 Assigner: [email protected] ソース: [email protected]

総合評価: CVE-2023-35934 は中リスク(43.8/100)。CVSS 深刻度は中。悪用される可能性が高い(EPSS 0.90%、55 パーセンタイル) 推奨対応: 影響資産を整理し、修補計画に組み込んでください。

リスクは変動します。再評価に基づき、本ページの表示内容を更新しています。

CVE-2023-35934 の EPSS(Exploit Prediction Scoring System)スコア

EPSS は日次で悪用されやすさの相対度合いを推定します。パーセンタイルは採点済み CVE の中での相対位置(高いほど相対的に深刻)を示します。

# 日付 旧 EPSS スコア 新 EPSS スコア Δ(新 − 旧)
1 2026-06-15 0.69% 0.90% +0.21%
2 2026-05-02 0.65% 0.69% +0.04%
3 2026-01-02 0.65%

EPSS の全履歴 (全 19 件)

CVE-2023-35934 の CVSS(Common Vulnerability Scoring System)指標

この CVE の CVSS 指標。

ベーススコア バージョン 深刻度 ベクトル 悪用しやすさ 影響 スコアの出典
6.1 3.1 MEDIUM
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N クリックして展開
攻撃ベクター (AV:N)
インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:H)
到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。
必要な権限 (PR:N)
事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:R)
インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。
スコープ (S:C)
脆弱箇所を足がかりに、別コンポーネントや別権限域まで影響が広がりうる。
機密性への影響 (C:H)
広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:N)
改ざん・なりすましによる信頼毀損は軽微か、想定されない。
可用性への影響 (A:N)
業務継続に支障が出るレベルの停止や劣化は想定されない。
1.6 4.0 [email protected]
8.2 3.1 HIGH
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N クリックして展開
攻撃ベクター (AV:N)
インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:L)
攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:N)
事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:R)
インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。
スコープ (S:C)
脆弱箇所を足がかりに、別コンポーネントや別権限域まで影響が広がりうる。
機密性への影響 (C:H)
広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:L)
レコードの一部書き換えや設定の歪みなど、限定的だが検知・復旧が必要な水準。
可用性への影響 (A:N)
業務継続に支障が出るレベルの停止や劣化は想定されない。
2.8 4.7 [email protected]

CVE-2023-35934 の弱点分類(列挙)

CVE-2023-35934 の GitHub Security Advisory

GHSA-v8mc-9377-rwjj · 深刻度: medium · エコシステム: pip — yt-dlp File Downloader cookie leak

CVE-2023-35934 の OS トラッカー

vendor priority summary link
alpine high CVE-2023-35934: 1 source package rows (yt-dlp); 10 state rows across 6 repos (3.18-community, 3.19-community, 3.20-community, 3.21-community, 3.22-community, edge-community); fixed 8, open 2. https://security.alpinelinux.org/vuln/CVE-2023-35934
debian not yet assigned CVE-2023-35934 not yet assigned priority: Debian including 2 source packages (youtube-dl, yt-dlp), 6 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): open 3, resolved 3. https://security-tracker.debian.org/tracker/CVE-2023-35934
gentoo normal CVE-2023-35934: 1 GLSA(s) (202409-30), 1 atom(s) (net-misc/yt-dlp); latest impact normal. https://bugs.gentoo.org/buglist.cgi?quicksearch=CVE-2023-35934
ubuntu medium CVE-2023-35934 medium priority: Ubuntu including 1 source packages (yt-dlp), 13 status rows across 13 suites (bionic, focal, jammy, kinetic, lunar, mantic, noble, oracular, plucky, questing, trusty, upstream, xenial): ignored 8, needs-triage 4, DNE 1. https://ubuntu.com/security/CVE-2023-35934

CVE-2023-35934 の影響を受けるソフトウェア/構成

ベンダー 製品 バージョン 生の CPE
youtube-dlc_project youtube-dlc cpe:2.3:a:youtube-dlc_project:youtube-dlc:*:*:*:*:*:*:*:*
yt-dl youtube-dl >= 2015.01.25 cpe:2.3:a:yt-dl:youtube-dl:*:*:*:*:*:*:*:*
yt-dlp_project yt-dlp < 2023.07.06 cpe:2.3:a:yt-dlp_project:yt-dlp:*:*:*:*:-:*:*:*
yt-dlp_project yt-dlp < 2023.07.06.185519 cpe:2.3:a:yt-dlp_project:yt-dlp:*:*:*:*:nightly:*:*:*
fedoraproject fedora 37 cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*
fedoraproject fedora 38 cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*

CVE-2023-35934 の参考情報

URL タグ
https://github.com/yt-dlp/yt-dlp-nightly-builds/releases/tag/2023.07.06.185519 Release Notes
https://github.com/yt-dlp/yt-dlp/commit/1ceb657bdd254ad961489e5060f2ccc7d556b729 Patch
https://github.com/yt-dlp/yt-dlp/commit/3121512228487c9c690d3d39bfd2579addf96e07 Patch
https://github.com/yt-dlp/yt-dlp/commit/f8b4bcc0a791274223723488bfbfc23ea3276641 Patch
https://github.com/yt-dlp/yt-dlp/releases/tag/2023.07.06 Release Notes
https://github.com/yt-dlp/yt-dlp/security/advisories/GHSA-v8mc-9377-rwjj Vendor Advisory
https://lists.fedoraproject.org/archives/list/[email protected]/message/5X6YT6AQE5FHM5VTQLKKJXSYBLLJF26W/ Mailing List
https://lists.fedoraproject.org/archives/list/[email protected]/message/HEOKCGVONGHR2SYUIXU33A4MKXZBDP6L/
https://lists.fedoraproject.org/archives/list/[email protected]/message/IM44RJL2MR2WG3ZY354C5IUEEZUJGEVA/ Mailing List
https://lists.fedoraproject.org/archives/list/[email protected]/message/M7E7CQ5S5KMZHAMCNU7V7KYNBVCPLBHG/
cvelogic Threat Intelligence