Se han descubierto múltiples vulnerabilidades críticas en pyload-ng, que pueden conducir a la ejecución remota de código (RCE), la falsificación de solicitudes del lado del servidor (SSRF) y la exposición de datos confidenciales. Estas vulnerabilidades afectan a las versiones hasta la 0.5.0b3.dev96, y se insta a los usuarios a actualizar a la versión 0.5.0b3.dev97 inmediatamente para mitigar estos riesgos.
Estas vulnerabilidades varían de alta a crítica, lo que podría permitir a los atacantes comprometer los sistemas.
¿Qué es Pyload Ng?
CVE-2026-33314: Vulnerabilidad de suplantación del encabezado de host de pyload-ng
Severidad media, potencialmente explotable con poco esfuerzo.
La puntuación EPSS sugiere una baja probabilidad de explotación.
Existe una vulnerabilidad de suplantación del encabezado de host en el decorador `@local_check` de pyload-ng, que permite a los atacantes no autenticados eludir las restricciones de solo locales. Al suplantar el encabezado `Host`, los atacantes pueden acceder a los puntos finales de la API Click'N'Load y poner en cola descargas arbitrarias.
Cómo solucionar CVE-2026-33314 en pyload-ng
Parchear en 24h- 1.Actualice pyload-ng a la versión 0.5.0b3.dev97 o posterior.
pip install --upgrade pyload-ngSolución temporal: Desactive el complemento Click'N'Load si es posible.
NextGuard marca automáticamente CVE-2026-33314 si pyload-ng aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.
CVE-2026-33509: Ejecución remota de código de pyload-ng a través de la configuración del script de reconexión
Alta severidad, que puede conducir a la puesta en peligro del sistema.
La puntuación EPSS sugiere una baja probabilidad de explotación.
El punto final de la API `set_config_value()` en pyload-ng permite a los usuarios con permiso `SETTINGS` modificar la opción de configuración `reconnect.script` sin restricciones. Esto les permite establecer una ruta de archivo ejecutable arbitraria, lo que lleva a la ejecución remota de código (RCE).
Cómo solucionar CVE-2026-33509 en pyload-ng
Parchear en 24h- 1.Actualice pyload-ng a la versión 0.5.0b3.dev97 o posterior.
pip install --upgrade pyload-ngSolución temporal: Restrinja los permisos de SETTINGS solo a usuarios de confianza. Evite habilitar la función de reconexión.
NextGuard marca automáticamente CVE-2026-33509 si pyload-ng aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.
CVE-2026-33992: Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) de pyload-ng
Severidad crítica, que puede conducir a la puesta en peligro completa del sistema.
La puntuación EPSS sugiere una baja probabilidad de explotación.
El motor de descarga de PyLoad acepta URL arbitrarias sin validación, lo que permite ataques de falsificación de solicitudes del lado del servidor (SSRF). Un atacante autenticado puede explotar esto para acceder a los servicios de la red interna y exfiltrar los metadatos del proveedor de la nube.
Cómo solucionar CVE-2026-33992 en pyload-ng
Parchear ahora- 1.Actualice pyload-ng a la versión 0.5.0b3.dev97 o posterior.
pip install --upgrade pyload-ngSolución temporal: Supervise el tráfico de red en busca de solicitudes salientes inusuales. Restrinja el acceso a la red desde la instancia de pyload-ng.
NextGuard marca automáticamente CVE-2026-33992 si pyload-ng aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.
Manténgase a la vanguardia de las vulnerabilidades de Python
Detecte y corrija de forma proactiva las vulnerabilidades en sus dependencias de Python. Supervise sus dependencias de Python con alertas en tiempo real e informes completos.
Comparar planesPreguntas frecuentes
Estas vulnerabilidades resaltan la importancia de mantener sus dependencias actualizadas. Regularmente vea todas las vulnerabilidades de Python y aplique los parches de seguridad con prontitud para proteger sus sistemas de posibles ataques.
Temas relacionados