CRITICAL🇬🇧 English

CVE-2026-33992

SSRF w PyLoad umożliwia dostęp do metadanych chmury i sieci wewnętrznej

CVSS 9.3v4.0pub. 2026-03-27upd. 2026-03-31

PyLoad, otwartoźródłowy menedżer pobierania napisany w Pythonie, akceptuje dowolne adresy URL bez walidacji, co pozwala na przeprowadzenie ataku Server-Side Request Forgery (SSRF). Uwierzytelniony atakujący może wykorzystać tę podatność do uzyskania dostępu do usług wewnętrznej sieci oraz wykradania wrażliwych metadanych dostawcy chmury.

Pokaż oryginał (EN)

pyLoad is a free and open-source download manager written in Python. Prior to version 0.5.0b3.dev97, PyLoad's download engine accepts arbitrary URLs without validation, enabling Server-Side Request Forgery (SSRF) attacks. An authenticated attacker can exploit this to access internal network services and exfiltrate cloud provider metadata. On DigitalOcean droplets, this exposes sensitive infrastructure data including droplet ID, network configuration, region, authentication keys, and SSH keys configured in user-data/cloud-init. Version 0.5.0b3.dev97 contains a patch.

🤖 Analiza AI
Jak działa

Silnik pobierania PyLoad nie weryfikuje przekazywanych adresów URL przed ich przetworzeniem, co stanowi klasyczny przypadek CWE-918 (SSRF). Atakujący z dostępem do konta w aplikacji może podać URL wskazujący na zasoby wewnętrzne — np. serwery metadanych instancji chmurowych. W przypadku środowisk DigitalOcean pozwala to na odpytanie punktów końcowych cloud metadata i pobranie wrażliwych danych infrastruktury, takich jak identyfikator dropletu, konfiguracja sieci, region, klucze uwierzytelniające oraz klucze SSH zdefiniowane w user-data/cloud-init.

Skutki

Atakujący może uzyskać dostęp do wewnętrznych usług sieciowych niedostępnych z zewnątrz oraz wykraść wrażliwe dane infrastrukturalne z serwisów metadanych dostawcy chmury, w tym klucze SSH i dane uwierzytelniające, co może prowadzić do dalszego kompromitowania środowiska.

Mitygacja

Należy zaktualizować PyLoad do wersji 0.5.0b3.dev97 lub nowszej, która zawiera patch eliminujący podatność. Patch dostępny jest w repozytorium projektu na GitHub (commit b76b6d4ee5e32d2118d26afdee1d0a9e57d4bfe8). Dodatkowo zaleca się ograniczenie dostępu do interfejsu PyLoad wyłącznie do zaufanych użytkowników oraz rozważenie segmentacji sieciowej blokującej dostęp instancji do punktów końcowych metadanych chmury (np. przez firewall na poziomie sieci).

Kogo dotyczy

PyLoad we wszystkich wersjach poprzedzających 0.5.0b3.dev97

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Pyload

    APP
    Pyload
    0.5.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2024-47821CRITICAL9.1PL ✓ten sam produkt

RCE w pyLoad przez zapis pliku wykonywalnego do folderu /scripts

CVE-2024-32880CRITICAL9.1PL ✓ten sam produkt

pyload: RCE przez upload złośliwego szablonu przez uwierzytelnionego użytkownika

CVE-2023-0435CRITICAL9.8ten sam produkt

Excessive Attack Surface in GitHub repository pyload/pyload prior to 0.5.0b3.dev41.

CVE-2023-0297CRITICAL9.8ten sam produkt

Code Injection in GitHub repository pyload/pyload prior to 0.5.0b3.dev31.

CVE-2026-41133HIGH8.8ten sam produkt

pyLoad is a free and open-source download manager written in Python. Versions up to and including 0.5.0b3.dev9...