一、 漏洞 CVE-2025-62511 基础信息
漏洞信息
                                        # yt-grabber-tui 配置文件TOCTOU漏洞

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
yt-grabber-tui local arbitrary file overwrite via TOCTOU race in config file creation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
yt-grabber-tui is a C++ terminal user interface application for downloading YouTube content. yt-grabber-tui version 1.0 contains a Time-of-Check to Time-of-Use (TOCTOU) race condition (CWE-367) in the creation of the default configuration file config.json. In version 1.0, load_json_settings in Settings.hpp checks for the existence of config.json using boost::filesystem::exists and, if the file is missing, calls create_json_settings which writes the JSON configuration with boost::property_tree::write_json. A local attacker with write access to the application’s configuration directory (~/.config/yt-grabber-tui on Linux or the current working directory on Windows) can create a symbolic link between the existence check and the subsequent write so that the write operation follows the symlink and overwrites an attacker-chosen file accessible to the running process. This enables arbitrary file overwrite within the privileges of the application process, which can corrupt files and cause loss of application or user data. If the application is executed with elevated privileges, this could extend to system file corruption. The issue is fixed in version 1.0.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
检查时间与使用时间(TOCTOU)的竞争条件
来源:美国国家漏洞数据库 NVD
漏洞标题
YtGrabber-TUI 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
YtGrabber-TUI是Женя Бородин个人开发者的一个软件的界面。 YtGrabber-TUI 1.0版本存在安全漏洞,该漏洞源于默认配置文件config.json创建过程中存在TOCTOU竞争条件,可能导致任意文件覆盖。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62511 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62511 的情报信息
四、漏洞 CVE-2025-62511 的评论

暂无评论

发表评论