CVE-2026-6219 CVSS 5.3 中危

CVE-2026-6219 ytDownloader命令注入漏洞

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6219

漏洞类型

命令注入

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

aandrew-me ytDownloader

漏洞概述

aandrew-me开发的ytDownloader在3.20.2及之前版本中存在命令注入漏洞。漏洞位于Compressor Feature组件的src/compressor.js文件，具体涉及child_process.exec函数。由于缺乏对用户输入的有效过滤，本地低权限攻击者可利用此漏洞注入并执行任意系统命令，从而窃取数据、破坏系统完整性或导致服务不可用。

技术细节

该漏洞具体位于应用程序的Compressor Feature组件中，核心问题出在src/compressor.js文件的实现逻辑。开发者使用了Node.js的child_process.exec方法来调用外部压缩工具，但未对用户可控的输入参数（如文件名或路径）实施严格的校验或转义机制。在Node.js环境中，child_process.exec默认调用系统的shell（如/bin/sh或cmd.exe）来解析命令字符串，这使得攻击者可以通过注入元字符（如分号、管道符或反引号）来截断原有命令并拼接恶意的操作系统指令。由于CVSS向量显示攻击需要本地访问权限和低权限级别，这意味着攻击者需要能够运行应用程序或向该功能模块发送特定格式的请求。一旦利用成功，攻击者将继承应用程序的运行上下文权限执行任意代码，造成数据泄露、完整性受损或服务中断等后果。

攻击链分析

STEP 1

侦察

识别目标系统上安装了aandrew-me ytDownloader，且版本低于或等于3.20.2。

STEP 2

访问

攻击者获取目标系统的本地低权限访问权限。

STEP 3

载荷构造

构造包含Shell元字符（如;或&）的恶意输入数据，旨在拼接到child_process.exec的执行命令中。

STEP 4

漏洞利用

通过应用程序的Compressor Feature接口传递恶意载荷，触发src/compressor.js中的漏洞代码。

STEP 5

命令执行

系统Shell解析并执行攻击者注入的任意命令，可能导致系统被控制或数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-6219
// The vulnerability is in src/compressor.js where child_process.exec is used unsafely.
// Assuming the vulnerable code looks like: exec(`compressor ${input}`);

const { exec } = require('child_process');

// Malicious payload containing command injection
// Example: touch a file named "pwned.txt"
const maliciousInput = "safe_value; touch pwned.txt #";

// Simulating the vulnerable function call
exec(`compressor ${maliciousInput}`, (error, stdout, stderr) => {
    if (error) {
        console.error(`exec error: ${error}`);
        return;
    }
    console.log(`Output: ${stdout}`);
});

影响范围

aandrew-me ytDownloader <= 3.20.2

防御指南

临时缓解措施

如果无法立即升级，建议限制应用程序的文件系统访问权限，并将其运行在受限的容器或沙箱环境中。同时，应严格限制能够调用压缩功能的用户权限，并监控系统中是否有异常的子进程生成。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6219
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6219
3 Details https://www.cvedetails.com/cve/CVE-2026-6219/
4 VulDB https://vuldb.com/cve/CVE-2026-6219
5 Link https://gist.github.com/ngocnn97/53a9f251d1cb99b1b8033e211407d1b1
6 Link https://github.com/ngocnn97/security-advisories/blob/main/YtDownloader_Command_Injection_PoC.mp4
7 Link https://vuldb.com/submit/785843
8 Link https://vuldb.com/submit/785844
9 Link https://vuldb.com/vuln/357140
10 Link https://vuldb.com/vuln/357140/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表