Plataforma
python
Componente
pyload-ng
Corregido en
0.5.1
0.5.0b3.dev91
La vulnerabilidad CVE-2025-61773 afecta a la interfaz web de pyLoad, una herramienta de despliegue de payloads. Esta falla de seguridad, clasificada como Cross-Site Scripting (XSS), se debe a una validación insuficiente de las entradas del usuario en los scripts de Captcha y Blueprint Click'N'Load (CNL). Las versiones afectadas son aquellas iguales o menores a 0.5.0b3.dev90. La solución es actualizar a la versión 0.5.0b3.dev91.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través de parámetros en las solicitudes HTTP. Este código se ejecutaría en el navegador de la víctima al acceder a la interfaz web de pyLoad, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página web. La inyección de código podría comprometer la confidencialidad e integridad de la información manejada por pyLoad, así como la seguridad del sistema donde se ejecuta. La falta de sanitización de la entrada permite la manipulación del manejo de solicitudes y la inyección de contenido arbitrario en la interfaz de usuario.
La vulnerabilidad CVE-2025-61773 fue publicada el 9 de octubre de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de información de seguridad para detectar cualquier nueva información sobre esta vulnerabilidad.
Organizations utilizing pyLoad-ng for download management and those with publicly accessible instances are at risk. Specifically, deployments using older versions (≤0.5.0b3.dev90) and those with limited input validation practices are particularly vulnerable. Shared hosting environments where multiple users share the same pyLoad-ng instance are also at increased risk.
• python: Monitor pyLoad-ng logs for unusual HTTP requests containing suspicious characters or patterns commonly associated with XSS attacks (e.g., <script>, <iframe>, javascript:).
• generic web: Use curl or wget to test the Captcha script endpoint and Click'N'Load Blueprint with various payloads containing XSS patterns. Examine the response for signs of code execution.
curl -X POST -d '<script>alert("XSS")</script>' https://your-pyload-ng-instance/captcha• generic web: Inspect access and error logs for requests containing XSS payloads or resulting in errors related to script execution. • generic web: Check response headers for unexpected content or modifications that could indicate XSS activity.
disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar pyLoad a la versión 0.5.0b3.dev91, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Aunque no es una solución completa, se puede considerar la implementación de un Web Application Firewall (WAF) con reglas para filtrar solicitudes HTTP que contengan patrones sospechosos de inyección de código. Además, se debe revisar y fortalecer la validación de todas las entradas de usuario en la interfaz web de pyLoad para prevenir futuras vulnerabilidades de este tipo. Después de la actualización, confirme la corrección revisando los logs de la aplicación en busca de intentos de inyección de código.
Actualice pyLoad a la versión 0.5.0b3.dev91 o superior. Esta versión contiene una corrección para la vulnerabilidad de inyección de código. Puede descargar la última versión desde el repositorio oficial de pyLoad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-61773 is a cross-site scripting (XSS) vulnerability in pyLoad-ng versions up to 0.5.0b3.dev90, allowing attackers to inject malicious content into the web interface.
You are affected if you are using pyLoad-ng version 0.5.0b3.dev90 or earlier. Upgrade to 0.5.0b3.dev91 or later to mitigate the risk.
Upgrade pyLoad-ng to version 0.5.0b3.dev91 or later. Consider temporary workarounds like restricting access to vulnerable endpoints if an immediate upgrade is not possible.
While no public exploits are currently known, the ease of exploitation inherent in XSS vulnerabilities suggests potential for active exploitation. Continuous monitoring is recommended.
Refer to the official pyLoad-ng project website or repository for the latest security advisories and updates related to CVE-2025-61773.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.