Plateforme
python
Composant
pyload-ng
Corrigé dans
0.5.1
0.5.1
0.5.0b3.dev97
La vulnérabilité CVE-2026-29778 est une faille de traversal de chemin (Path Traversal) découverte dans pyload-ng. Cette faille permet à un utilisateur authentifié de contourner la validation du chemin d'accès, potentiellement compromettant l'intégrité des fichiers. Elle affecte les versions de pyload-ng inférieures ou égales à 0.5.0b3.dev96. Une correction est disponible dans la version 0.5.0b3.dev97.
Un attaquant peut exploiter cette vulnérabilité en soumettant une charge utile spécialement conçue pour contourner la validation du chemin d'accès. La fonction editpackage() ne filtre pas correctement le paramètre packfolder, permettant à un attaquant d'écrire des fichiers en dehors du répertoire prévu. Par exemple, une charge utile comme pack_folder=..././..././..././tmp est transformée en ../../../tmp après le remplacement unique de "../", permettant ainsi l'accès à des zones sensibles du système de fichiers. Cette vulnérabilité pourrait permettre la lecture, la modification ou la suppression de fichiers critiques, compromettant ainsi la confidentialité, l'intégrité et la disponibilité du système.
Cette vulnérabilité a été publiée le 2026-03-05. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'une authentification et de la complexité de la charge utile requise. Il n'est pas listé sur le KEV de CISA.
Users running pyLoad-ng versions prior to 0.5.0b3.dev97 are at risk, particularly those hosting the application on publicly accessible servers or within shared hosting environments. Systems where pyLoad-ng is used to process user-supplied input for file management are also at higher risk.
• python / server:
import os
import re
def check_pack_folder(pack_folder):
if '..' in pack_folder:
# Check for recursive traversal attempts
if re.search(r'../+', pack_folder):
print("Potential directory traversal attempt detected!")
return False
return True
# Example usage (replace with actual input)
pack_folder = input("Enter pack_folder: ")
if check_pack_folder(pack_folder):
print("Pack folder is safe.")
else:
print("Pack folder is potentially unsafe.")disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau pyload-ng vers la version 0.5.0b3.dev97 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à niveau, il est recommandé de restreindre l'accès aux fonctions d'édition de paquets aux utilisateurs autorisés uniquement. Il est également possible de mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des séquences de traversal de chemin d'accès. Vérifiez après la mise à niveau que la fonction edit_package() ne permet plus l'écriture de fichiers en dehors du répertoire prévu en testant avec des charges utiles de traversal de chemin.
Actualice pyLoad a la versión 0.5.0b3.dev97 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal en la función edit_package().
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-29778 is a directory traversal vulnerability in pyLoad-ng versions up to 0.5.0b3.dev96, allowing attackers to access arbitrary files by bypassing sanitization.
You are affected if you are using pyLoad-ng versions 0.5.0b3.dev13 through 0.5.0b3.dev96. Upgrade to 0.5.0b3.dev97 or later to mitigate the risk.
Upgrade pyLoad-ng to version 0.5.0b3.dev97 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There are currently no confirmed reports of active exploitation, but the vulnerability's severity warrants prompt mitigation.
Refer to the pyLoad-ng project's official website or GitHub repository for the latest security advisories and release notes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.