Plataforma
python
Componente
pyload
Corregido en
0.4.10
La vulnerabilidad CVE-2026-32808 es un fallo de recorrido de ruta (Path Traversal) descubierto en pyLoad, un gestor de descargas de código abierto escrito en Python. Esta vulnerabilidad permite a un atacante eliminar archivos arbitrarios fuera del directorio de extracción al verificar contraseñas de archivos 7z encriptados con encabezados no encriptados. La vulnerabilidad afecta a las versiones anteriores a 0.5.0b3.dev97 y ha sido corregida en esta versión.
Un atacante podría explotar esta vulnerabilidad para eliminar archivos críticos del sistema o de la aplicación, comprometiendo la integridad y la disponibilidad del sistema. El ataque se basa en la manipulación del nombre de la entrada del archivo durante la verificación de la contraseña de un archivo 7z encriptado. pyLoad no valida adecuadamente este nombre, permitiendo al atacante construir una ruta de archivo que apunte fuera del directorio de extracción previsto. Esto podría resultar en la eliminación de archivos sensibles o incluso en la denegación de servicio al eliminar archivos esenciales para el funcionamiento del sistema. La falta de validación de entrada es un error común que puede llevar a este tipo de vulnerabilidades.
Actualmente, no se dispone de información pública sobre la explotación activa de esta vulnerabilidad. La vulnerabilidad ha sido publicada el 2026-03-20. No se ha añadido a KEV ni se ha identificado un EPSS score. Se recomienda monitorear las fuentes de información de seguridad para detectar cualquier nueva información sobre la explotación de esta vulnerabilidad.
Users who rely on pyLoad for downloading files and are running versions prior to 0.5.0b3.dev97 are at risk. This includes individuals and organizations using pyLoad in automated download scripts or as part of their workflow. Shared hosting environments where multiple users share the same pyLoad installation are particularly vulnerable, as a compromised archive could affect all users on the system.
• linux / server:
find / -type f -name '*.7z' -mtime +7 -print # Identify old 7z archives
journalctl -u pylload -f | grep -i "password verification" # Monitor password verification logs• python:
import os
import hashlib
# Check for unusual file paths during password verification
# (This requires code analysis of the pyLoad source code)• generic web: Inspect web server access logs for requests containing unusual file paths or attempts to access 7z archives from untrusted sources.
disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-32808 es actualizar pyLoad a la versión 0.5.0b3.dev97 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir los permisos de acceso al directorio de extracción y monitorear la actividad del sistema en busca de intentos de acceso no autorizados. Además, se puede considerar la implementación de un sistema de detección de intrusiones (IDS) que pueda identificar patrones de ataque relacionados con el recorrido de ruta. Después de la actualización, confirme la corrección verificando que la validación de la ruta de archivo se realiza correctamente durante la verificación de la contraseña de los archivos 7z.
Actualice pyLoad a la versión 0.5.0b3.dev97 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32808 is a Path Traversal vulnerability in pyLoad, a Python download manager, allowing attackers to delete files outside the intended extraction directory by exploiting password verification of encrypted 7z archives.
You are affected if you are using pyLoad versions 0.4.9-6262-g2fa0b11d3 and below 0.5.0b3.dev97.
Upgrade pyLoad to version 0.5.0b3.dev97 or later to resolve the vulnerability. Consider temporary workarounds like restricting the extraction directory if immediate upgrade is not possible.
There is currently no evidence of active exploitation of CVE-2026-32808, but the vulnerability's nature suggests a potential for future exploitation.
Refer to the official pyLoad project repository or website for the latest security advisories and updates related to CVE-2026-32808.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.