Plattform
python
Komponente
pyload-ng
Behoben in
0.5.1
0.5.1
CVE-2026-35459 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in pyload-ng, a Python-based download manager. This flaw allows authenticated users with ADD permission to bypass the existing IP validation mechanism by exploiting HTTP redirects. The vulnerability affects versions of pyload-ng up to and including 0.5.0b3.dev96, and a fix is available in a subsequent release.
CVE-2026-35459 in pyload ermöglicht einem authentifizierten Benutzer mit ADD-Berechtigungen, die SSRF-Abschwächung (Server-Side Request Forgery) zu umgehen, die implementiert wurde, um CVE-2026-33992 zu beheben. Die vorherige Korrektur führte eine IP-Validierung in BaseDownloader.download() ein, um den Hostnamen der anfänglichen Download-URL zu überprüfen. Da pycurl jedoch mit FOLLOWLOCATION=1 und MAXREDIRS=10 konfiguriert ist, folgt es automatisch HTTP-Weiterleitungen. Das Problem besteht darin, dass die Ziel-URLs dieser Weiterleitungen nicht gegen den SSRF-Filter validiert werden, was den Zugriff auf interne Ressourcen ermöglicht.
Ein authentifizierter Angreifer mit ADD-Berechtigungen kann diese Schwachstelle ausnutzen, indem er eine anfängliche URL bereitstellt, die auf eine interne Adresse umleitet. Die FOLLOWLOCATION-Einstellung von pycurl führt dazu, dass der Download dieser Weiterleitung folgt und die ursprüngliche IP-Validierung umgeht. Dies ermöglicht dem Angreifer den Zugriff auf interne Ressourcen, die normalerweise durch den SSRF-Filter geschützt sind. Die erforderliche Authentifizierung schränkt den Umfang auf Benutzer mit ADD-Berechtigungen innerhalb des Systems ein.
Organizations using pyload-ng for download management, particularly those with internal services accessible from the network, are at risk. Shared hosting environments where multiple users have ADD permissions within pyload-ng are especially vulnerable, as a compromised user account could be leveraged to exploit this SSRF vulnerability.
• python / server:
import requests
import urllib.parse
def check_redirects(url):
try:
response = requests.get(url, allow_redirects=True, timeout=5)
print(f"Final URL: {response.url}")
return True # Redirects followed
except requests.exceptions.RequestException as e:
print(f"Error: {e}")
return False
# Example usage (replace with pyload-ng specific URLs)
url_to_check = "http://example.com/redirect?url=http://127.0.0.1:8000/internal/resource"
check_redirects(url_to_check)• generic web:
curl -I 'http://your-pyload-ng-instance/your-endpoint?url=http://internal-ip/sensitive-resource' | grep 'Location:'disclosure
Exploit-Status
EPSS
0.03% (10% Perzentil)
Es gibt derzeit keine offizielle Lösung (Fix) für CVE-2026-35459. Die empfohlene Abschwächung besteht darin, HTTP-Weiterleitungen in der pycurl-Konfiguration zu deaktivieren, indem FOLLOWLOCATION=0 gesetzt wird. Alternativ kann eine zusätzliche URL-Validierung für die Ziel-URLs der Weiterleitungen innerhalb der Funktion BaseDownloader.download() implementiert werden, um sicherzustellen, dass sie mit der erwarteten Domäne übereinstimmen. Es ist entscheidend, diese Abschwächung so schnell wie möglich anzuwenden, um das Risiko einer Ausnutzung zu verringern. Überwachen Sie die Sicherheitsupdates von pyload auf eine offizielle Lösung.
Actualice pyLoad a una versión corregida. La vulnerabilidad se debe a una falta de validación adecuada de las redirecciones HTTP después de una corrección previa. Verifique la documentación oficial de pyload para obtener instrucciones específicas de actualización y asegúrese de que el entorno esté actualizado.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SSRF (Server-Side Request Forgery) ist eine Schwachstelle, die es einem Angreifer ermöglicht, den Server zu einer Anfrage von Ressourcen zu veranlassen, auf die von außen nicht zugegriffen werden sollte.
ADD-Berechtigungen beziehen sich auf die Fähigkeit eines Benutzers, neue Elemente innerhalb des pyload-Systems hinzuzufügen oder zu erstellen.
Wenn Sie eine Version von pyload verwenden, die die Korrektur für CVE-2026-33992 enthält und pycurl mit FOLLOWLOCATION=1 konfiguriert ist, sind Sie wahrscheinlich anfällig für CVE-2026-35459.
Ja, Sie können eine zusätzliche URL-Validierung für die Ziel-URLs der Weiterleitungen innerhalb der Funktion BaseDownloader.download() implementieren. Dies ist komplexer, ermöglicht aber die Beibehaltung der Weiterleitungsfunktionalität mit größerer Sicherheit.
Es gibt keinen geschätzten Termin für eine offizielle Lösung. Überwachen Sie die Sicherheitsupdates von pyload.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.