Plateforme
python
Composant
pyload-ng
Corrigé dans
0.5.1
0.5.0b3.dev90
Une vulnérabilité de traversal de chemin authentifiée a été découverte dans l'endpoint /json/upload de pyLoad-ng. En manipulant le nom de fichier d'un fichier téléchargé, un attaquant peut sortir du répertoire de téléchargement prévu et écrire des fichiers arbitraires sur le système, à condition d'avoir les droits nécessaires au processus pyLoad. Cette faille affecte les versions de pyLoad-ng inférieures ou égales à 0.5.0b3.dev89 et une correction est disponible dans la version 0.5.0b3.dev90.
Cette vulnérabilité permet à un attaquant d'exploiter le mécanisme de téléchargement de fichiers pour écrire des fichiers en dehors du répertoire prévu. En modifiant le nom de fichier téléchargé, il est possible de contourner les contrôles de sécurité et d'écrire des fichiers dans des emplacements arbitraires accessibles au processus pyLoad. Les conséquences potentielles sont graves : un attaquant pourrait exécuter du code à distance (RCE), obtenir une escalade de privilèges, compromettre l'ensemble du système, et établir une persistance via des backdoors. L'impact est amplifié si pyLoad-ng est exécuté avec des privilèges élevés ou si le système est utilisé pour stocker des données sensibles.
Cette vulnérabilité est actuellement publique. Il n'y a pas d'indication d'une exploitation active à grande échelle, mais la simplicité de l'exploitation et la possibilité d'obtenir un RCE en font une cible attrayante pour les attaquants. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA, et la probabilité d'exploitation est considérée comme moyenne. Des preuves de concept publiques sont susceptibles d'émerger rapidement.
Organizations running pyLoad-ng in production environments, particularly those with limited access controls or inadequate input validation, are at risk. Shared hosting environments where multiple users share the same pyLoad instance are particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability and impact other users.
• python / server: Monitor pyLoad logs for file creation events in unexpected directories. Use journalctl -u pyload to filter for upload-related messages.
journalctl -u pyload | grep "upload" | grep ".."• linux / server: Use lsof to identify processes accessing files outside of the intended upload directory.
lsof | grep pyload | grep "/path/to/uploads/../"• generic web: Check access logs for requests to /json/upload with filenames containing directory traversal sequences (e.g., ../../../../etc/passwd).
grep "/json/upload.*\.\.\/\.\.\/" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.40% (percentile 61%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour pyLoad-ng vers la version 0.5.0b3.dev90 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une mesure temporaire consiste à restreindre les autorisations du processus pyLoad pour limiter l'accès à l'écriture sur le système. Il est également recommandé de mettre en place une surveillance accrue des téléchargements de fichiers et d'utiliser un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes contenant des séquences de traversal de chemin (par exemple, ../). Enfin, examinez les journaux d'accès et d'erreurs pour détecter toute tentative d'exploitation de cette vulnérabilité.
Actualice pyLoad a la versión 0.5.0b3.dev90 o superior. Esta versión corrige la vulnerabilidad de path traversal en el endpoint /json/upload. La actualización evitará la escritura arbitraria de archivos en el sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-54140 is a path traversal vulnerability in pyLoad-ng versions up to 0.5.0b3.dev89, allowing attackers to write arbitrary files and potentially gain remote code execution.
You are affected if you are running pyLoad-ng versions 0.5.0b3.dev89 or earlier. Upgrade to 0.5.0b3.dev90 to mitigate the risk.
Upgrade pyLoad-ng to version 0.5.0b3.dev90 or later. Implement temporary workarounds like filename validation and WAF rules if immediate upgrade is not possible.
As of 2025-07-21, there are no confirmed reports of active exploitation, but the potential for RCE warrants immediate attention.
Refer to the official pyLoad GitHub repository for updates and advisories related to CVE-2025-54140: [https://github.com/pyload/p](https://github.com/pyload/p)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.