Plateforme
python
Composant
pyload
Corrigé dans
0.4.10
Une vulnérabilité de type Path Traversal a été découverte dans pyLoad, un gestionnaire de téléchargement open-source écrit en Python. Cette faille permet à un attaquant de supprimer arbitrairement des fichiers en dehors du répertoire d'extraction, en exploitant la vérification de mots de passe de fichiers 7z chiffrés. La vulnérabilité affecte les versions antérieures à 0.5.0b3.dev97 et a été corrigée dans cette version.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de supprimer des fichiers sensibles sur le système où pyLoad est exécuté. L'attaquant peut potentiellement compromettre l'intégrité du système et voler des données critiques. Le risque est exacerbé si pyLoad est utilisé dans un environnement où des fichiers importants sont stockés ou traités. Bien qu'il n'y ait pas de rapport d'exploitation publique connu, la nature de la vulnérabilité, permettant la suppression de fichiers arbitraires, la rend potentiellement dangereuse.
Cette vulnérabilité a été rendue publique le 20 mars 2026. Elle n'est pas répertoriée sur KEV à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la complexité de la manipulation des fichiers 7z chiffrés et de l'absence de PoC public. Cependant, la possibilité de suppression arbitraire de fichiers en fait une cible potentielle pour les attaquants.
Users who rely on pyLoad for downloading files and are running versions prior to 0.5.0b3.dev97 are at risk. This includes individuals and organizations using pyLoad in automated download scripts or as part of their workflow. Shared hosting environments where multiple users share the same pyLoad installation are particularly vulnerable, as a compromised archive could affect all users on the system.
• linux / server:
find / -type f -name '*.7z' -mtime +7 -print # Identify old 7z archives
journalctl -u pylload -f | grep -i "password verification" # Monitor password verification logs• python:
import os
import hashlib
# Check for unusual file paths during password verification
# (This requires code analysis of the pyLoad source code)• generic web: Inspect web server access logs for requests containing unusual file paths or attempts to access 7z archives from untrusted sources.
disclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour pyLoad vers la version 0.5.0b3.dev97 ou ultérieure, qui corrige la vulnérabilité. En attendant la mise à jour, il n'existe pas de contournement direct. Il est fortement recommandé de désactiver temporairement la fonctionnalité de gestion des archives 7z chiffrées si possible. Surveillez attentivement les journaux système pour détecter toute activité suspecte, en particulier les tentatives d'accès à des fichiers en dehors du répertoire d'extraction.
Actualice pyLoad a la versión 0.5.0b3.dev97 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32808 is a Path Traversal vulnerability in pyLoad, a Python download manager, allowing attackers to delete files outside the intended extraction directory by exploiting password verification of encrypted 7z archives.
You are affected if you are using pyLoad versions 0.4.9-6262-g2fa0b11d3 and below 0.5.0b3.dev97.
Upgrade pyLoad to version 0.5.0b3.dev97 or later to resolve the vulnerability. Consider temporary workarounds like restricting the extraction directory if immediate upgrade is not possible.
There is currently no evidence of active exploitation of CVE-2026-32808, but the vulnerability's nature suggests a potential for future exploitation.
Refer to the official pyLoad project repository or website for the latest security advisories and updates related to CVE-2026-32808.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.