MEDIUMCVE-2026-33314CVSS 6.5

CVE-2026-33314: SSRF en pyLoad-ng ≤0.5.0b3.dev96

Q: What is CVE-2026-33314 — SSRF in pyLoad-ng?

CVE-2026-33314 es una vulnerabilidad de Host Header Spoofing en pyLoad-ng que permite a atacantes eludir restricciones locales y realizar SSRF/DoS.

Q: Am I affected by CVE-2026-33314 in pyLoad-ng?

Sí, si está utilizando una versión de pyLoad-ng anterior a 0.5.0b3.dev97, es vulnerable a esta vulnerabilidad.

Q: How do I fix CVE-2026-33314 in pyLoad-ng?

Actualice a la versión 0.5.0b3.dev97 o implemente medidas de seguridad adicionales como un WAF o reglas de proxy.

Q: Is CVE-2026-33314 being actively exploited?

Hasta el momento, no se ha reportado explotación activa de esta vulnerabilidad.

Q: Where can I find the official pyLoad advisory for CVE-2026-33314?

Consulte el sitio web oficial de pyLoad-ng o el repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad.

Plataforma

python

Componente

pyload-ng

Corregido en

0.5.1

0.5.0b3.dev97

AI Confidence: highNVDEPSS 0.0%Revisado: may 2026

Ver en NVD

Guardar

Se ha identificado una vulnerabilidad de Host Header Spoofing en pyLoad-ng, un gestor de descargas de código abierto escrito en Python. Esta vulnerabilidad permite a atacantes externos no autenticados eludir las restricciones locales, lo que puede resultar en Server-Side Request Forgery (SSRF) y ataques de Denegación de Servicio (DoS). La vulnerabilidad afecta a las versiones de pyLoad-ng anteriores a la 0.5.0b3.dev97 y ha sido parcheada en la versión 0.5.0b3.dev97.

Impacto y Escenarios de Ataque

La vulnerabilidad de Host Header Spoofing en pyLoad-ng permite a un atacante eludir las restricciones de acceso local a la API Click'N'Load. Al manipular el encabezado Host, el atacante puede engañar al servidor para que procese solicitudes como si provinieran de una fuente autorizada. Esto abre la puerta a la ejecución de ataques SSRF, donde el atacante puede forzar al servidor a realizar solicitudes a recursos internos o externos no autorizados. Además, el atacante podría abusar de esta vulnerabilidad para lanzar ataques de Denegación de Servicio (DoS) al sobrecargar el servidor con solicitudes maliciosas. El impacto potencial incluye la exposición de datos sensibles, la manipulación de la configuración del servidor y la interrupción del servicio.

Contexto de Explotación

Esta vulnerabilidad se publicó el 19 de marzo de 2026. No se ha reportado explotación activa en entornos reales hasta el momento. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de un conocimiento técnico específico y la relativa complejidad de la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.

Quién Está en Riesgotraduciendo…

Organizations and individuals utilizing pyLoad-ng for download management, particularly those running instances accessible from external networks, are at risk. Shared hosting environments where pyLoad-ng is installed alongside other applications are also vulnerable, as a successful exploit could potentially compromise other services on the same server.

Pasos de Deteccióntraduciendo…

• python / server:

import requests
import re

def check_pyload_version(url):
    try:
        response = requests.get(f'{url}/api/version')
        response.raise_for_status()
        version = response.json().get('version', 'unknown')
        if re.match(r'^0\.5\.0b3\.dev[0-9]+$', version):
            return True
        return False
    except requests.exceptions.RequestException:
        return False

# Example usage
url = 'http://your-pyload-instance' # Replace with your pyload instance URL
if check_pyload_version(url):
    print('Vulnerable version detected!')
else:
    print('Version is likely patched.')

• generic web:

curl -I http://your-pyload-instance/api/ | grep Host

Cronología del Ataque

2026-03-19Disclosure
disclosure
2026-03-19Patch
patch

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido

CISA KEVNO

Exposición en InternetAlta

EPSS

0.01% (1% percentil)

CISA SSVC

Explotaciónpoc

Automatizableyes

Impacto Técnicopartial

Vector CVSS

Software Afectado

Componentepyload-ng

Proveedorosv

Rango afectadoCorregido en

< 0.5.0b3.dev97 – < 0.5.0b3.dev970.5.1

—0.5.0b3.dev97

Clasificación de Debilidad (CWE)

CWE-287 CWE-346

Cronología

Reservado2026-03-18
Publicada2026-03-19
Modificada2026-03-27
EPSS actualizado2026-04-01

Parcheado 20 días tras la divulgación

Mitigación y Workarounds

La mitigación principal para esta vulnerabilidad es actualizar a la versión parcheada de pyLoad-ng, 0.5.0b3.dev97. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas pueden incluir la configuración de un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas basadas en el encabezado Host. También se puede considerar la implementación de reglas de proxy para restringir el acceso a la API Click'N'Load solo a fuentes autorizadas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el encabezado Host ya no se puede manipular para eludir las restricciones locales.

Cómo corregirlo

Actualice pyLoad a la versión 0.5.0b3.dev97 o superior. Esto corrige la vulnerabilidad de validación de origen y autenticación incorrecta, evitando el acceso no autorizado a las API Click'N'Load y mitigando los riesgos de SSRF y DoS.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentes

What is CVE-2026-33314 — SSRF in pyLoad-ng?