CRITICAL🇬🇧 English

CVE-2025-54802

Path Traversal i RCE w pyLoad-ng — zapis dowolnych plików bez uwierzytelnienia

CVSS 9.8v3.1pub. 2025-08-05upd. 2025-10-09

pyLoad-ng w wersjach 0.5.0b3.dev89 i wcześniejszych zawiera krytyczną podatność path traversal w endpoincie addcrypted, umożliwiającą nieuwierzytelnionemu atakującemu zapis dowolnych plików poza wyznaczonym katalogiem. Podatność prowadzi do zdalnego wykonania kodu (RCE) z uprawnieniami root.

Pokaż oryginał (EN)

pyLoad is the free and open-source Download Manager written in pure Python. In versions 0.5.0b3.dev89 and below, there is an opportunity for path traversal in pyLoad-ng CNL Blueprint via package parameter, allowing Arbitrary File Write which leads to Remote Code Execution (RCE). The addcrypted endpoint in pyload-ng suffers from an unsafe path construction vulnerability, allowing unauthenticated attackers to write arbitrary files outside the designated storage directory. This can be abused to overwrite critical system files, including cron jobs and systemd services, leading to privilege escalation and remote code execution as root. This issue is fixed in version 0.5.0b3.dev90.

🤖 Analiza AI
Jak działa

Endpoint addcrypted w module CNL Blueprint pyLoad-ng konstruuje ścieżkę docelową pliku w sposób niebezpieczny, bez odpowiedniej sanityzacji parametru package. Atakujący może przesłać specjalnie spreparowane żądanie zawierające sekwencje path traversal (np. '../'), co pozwala na zapisanie pliku w dowolnym miejscu systemu plików — poza przeznaczonym katalogiem składowania. Podatność jest dostępna bez uwierzytelnienia (PR:N, UI:N). Nadpisując krytyczne pliki systemowe, takie jak zadania cron lub usługi systemd, atakujący może doprowadzić do privilege escalation i wykonania własnego kodu jako root.

Skutki

Atakujący bez żadnych uprawnień może zapisać dowolny plik w systemie plików serwera, nadpisać krytyczne pliki systemowe i tym samym uzyskać pełną kontrolę nad hostem z uprawnieniami root (RCE, privilege escalation).

Mitygacja

Należy niezwłocznie zaktualizować pyLoad-ng do wersji 0.5.0b3.dev90, w której podatność została naprawiona. Commit naprawczy dostępny jest pod adresem: https://github.com/pyload/pyload/commit/70a44fe02c03bce92337b5d370d2a45caa4de3d4. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji pyLoad-ng wyłącznie do zaufanych adresów IP.

Kogo dotyczy

pyLoad-ng (Pyload-Ng Project) w wersjach 0.5.0b3.dev89 i wcześniejszych.

Uwagi

Podatność dotyczy endpointu addcrypted w module CNL Blueprint i jest dostępna bez uwierzytelnienia. Poprawka została wprowadzona w wersji 0.5.0b3.dev90 i opisana w GitHub Security Advisory GHSA-48rp-jc79-2264.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Pyload Ng Project Pyload Ng

    APP
    Pyload-Ng Project
    0.5.0b3.dev89
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath TraversalAuth BypassLPE
CWE
Referencje

Powiązane podatności

CVE-2026-35459CRITICAL9.3PL ✓ten sam produkt

SSRF w pyLoad-NG – obejście filtra przez przekierowania HTTP

CVE-2024-22416CRITICAL9.6PL ✓ten sam produkt

CSRF w pyLoad umożliwia wykonanie dowolnych wywołań API bez uwierzytelnienia

CVE-2026-42315HIGH8.1ten sam produkt

pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, when passing a f...

CVE-2026-42313HIGH8.3ten sam produkt

pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the set_config_v...

CVE-2026-35463HIGH8.8ten sam produkt

pyLoad is a free and open-source download manager written in Python. In 0.5.0b3.dev96 and earlier, the ADMIN_O...