Plataforma
python
Componente
pyload-ng
Corregido en
0.5.1
0.20
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en pyLoad-ng, afectando a versiones hasta la 0.5.0b3.dev89. Esta falla permite a atacantes remotos, sin necesidad de autenticación, ejecutar código arbitrario en el navegador del cliente e incluso en el servidor backend. La vulnerabilidad radica en la función onCaptchaResult que evalúa directamente la entrada del CAPTCHA, lo que facilita la inyección de código malicioso.
La gravedad de esta vulnerabilidad radica en su facilidad de explotación y el potencial impacto. Un atacante puede inyectar código JavaScript malicioso a través del proceso de CAPTCHA, que se ejecuta directamente en el navegador del usuario. Esto puede resultar en el robo de credenciales, secuestro de sesión, y, en escenarios más graves, la ejecución de código en el servidor backend, comprometiendo la integridad y confidencialidad del sistema. La ausencia de autenticación necesaria para la explotación amplía significativamente el radio de impacto, permitiendo a atacantes no autenticados comprometer el sistema. Esta vulnerabilidad comparte similitudes con otros ataques XSS donde la falta de sanitización de la entrada del usuario permite la ejecución de código malicioso.
Esta vulnerabilidad ha sido publicada el 15 de julio de 2025. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación en el futuro cercano. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations utilizing pyLoad-ng for media downloading and management, particularly those with publicly accessible CAPTCHA endpoints, are at significant risk. Environments with legacy configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments where multiple users share the same pyLoad-ng instance are also at increased risk.
• python / server: Monitor pyLoad-ng logs for unusual activity or errors related to CAPTCHA processing. Look for suspicious JavaScript code being passed as CAPTCHA results.
grep -i 'eval' /var/log/pyload-ng/error.log• generic web: Use curl or wget to test CAPTCHA endpoints with payloads containing JavaScript code. Examine the response for signs of script execution (e.g., an alert box).
curl -X POST -d 'result=<script>alert("XSS")</script>' <pyload-ng_captcha_endpoint>disclosure
Estado del Exploit
EPSS
0.64% (70% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 0.20 de pyLoad-ng, que corrige la falla de seguridad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización rigurosa de todas las entradas de CAPTCHA antes de su uso. Aunque no es una solución completa, la implementación de un Web Application Firewall (WAF) con reglas para detectar y bloquear la ejecución de código JavaScript no esperado puede proporcionar una capa adicional de protección. Se debe revisar la configuración del servidor para asegurar que las políticas de seguridad de contenido (CSP) estén correctamente configuradas para mitigar los riesgos de XSS.
Actualice pyLoad a la versión 0.5.0b3.dev89 o superior. Esto corrige la vulnerabilidad de ejecución remota de código causada por una evaluación insegura de JavaScript en el procesamiento de CAPTCHA. La actualización previene la ejecución de código arbitrario en el navegador del cliente y potencialmente en el servidor backend.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-53890 is a critical XSS vulnerability in pyLoad-ng versions up to 0.5.0b3.dev89, allowing attackers to execute malicious scripts via the CAPTCHA processing code.
Yes, if you are running pyLoad-ng versions 0.5.0b3.dev89 or earlier, you are vulnerable to this XSS attack.
Upgrade pyLoad-ng to version 0.20 or later to resolve this vulnerability. Implement WAF rules and CSP headers as temporary mitigations.
While no widespread exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted.
Refer to the official pyLoad-ng GitHub repository and associated security advisories for the latest information and updates regarding CVE-2025-53890.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.