Plataforma
python
Componente
pyload-ng
Corregido en
0.4.1
0.5.1
La vulnerabilidad CVE-2026-33509 es una falla de Ejecución Remota de Código (RCE) presente en pyload-ng versiones hasta la 0.5.0b3.dev96. Un atacante con el permiso 'SETTINGS' puede modificar configuraciones críticas, incluyendo el script de reconexión, para ejecutar código arbitrario en el sistema. La vulnerabilidad fue publicada el 20 de marzo de 2026 y se ha solucionado en la versión 0.5.0b3.dev97.
Esta vulnerabilidad permite a un atacante con privilegios 'SETTINGS' ejecutar comandos arbitrarios en el servidor pyload-ng. El atacante puede modificar la opción 'reconnect.script' para apuntar a un archivo ejecutable malicioso, que se ejecutará cada vez que el agente de reconexión intente restablecer la conexión. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales, o la instalación de malware. La falta de validación en la API setconfigvalue() hace que esta vulnerabilidad sea particularmente grave, ya que permite la modificación de prácticamente cualquier configuración sin restricciones.
La vulnerabilidad CVE-2026-33509 se ha hecho pública el 20 de marzo de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la facilidad de explotación y el potencial impacto hacen que sea una vulnerabilidad de alta prioridad. No se ha listado en el KEV de CISA al momento de la redacción, pero su severidad podría justificar su inclusión en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Organizations and individuals using pyload-ng for download management, particularly those with multiple users or shared hosting environments, are at risk. Systems where the SETTINGS permission has been granted to non-administrative users are especially vulnerable. Legacy configurations that haven't been regularly updated are also at increased risk.
• linux / server:
journalctl -u pyload-ng | grep -i "reconnect.script"• python / supply-chain:
import os
config_path = os.path.expanduser('~/.config/pyload-ng/config.json')
with open(config_path, 'r') as f:
config = json.load(f)
if 'reconnect' in config and 'script' in config['reconnect']:
print(f"Potential vulnerability: reconnect.script set to {config['reconnect']['script']}")• generic web:
Use curl or wget to check for the existence of the /api/v1/settings/setconfigvalue endpoint. Examine the response headers for any unusual or unexpected content.
disclosure
Estado del Exploit
EPSS
0.08% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 0.5.0b3.dev97, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al endpoint setconfigvalue() solo a usuarios administradores. Además, se puede implementar un sistema de control de acceso más granular para limitar los permisos de los usuarios con el rol 'SETTINGS'. Monitorear los archivos de configuración de pyload-ng en busca de modificaciones inesperadas también puede ayudar a detectar un ataque en curso. Si se sospecha de una intrusión, se recomienda aislar el sistema afectado y realizar un análisis forense.
Actualice pyLoad a la versión 0.5.0b3.dev97 o superior. Esta versión corrige la vulnerabilidad que permite la ejecución remota de código a través de la configuración del script de reconexión.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33509 is a Remote Code Execution vulnerability in pyload-ng where a privileged user can modify the reconnect.script configuration to execute arbitrary code.
You are affected if you are using pyload-ng versions ≤0.5.0b3.dev96 and have users with the SETTINGS permission.
Upgrade to pyload-ng version 0.5.0b3.dev97 or later. Restrict the SETTINGS permission to trusted users as a temporary workaround.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official pyload-ng project's website or GitHub repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.