Plateforme
python
Composant
pyload-ng
Corrigé dans
0.4.1
0.5.1
La vulnérabilité CVE-2026-33509 est une exécution de code à distance (RCE) affectant pyload-ng, une application Python. Elle permet à un utilisateur disposant de la permission SETTINGS de modifier des options de configuration sensibles, notamment le script de reconnexion (reconnect.script), ce qui peut conduire à l'exécution de code arbitraire sur le système. Cette faille est présente dans les versions de pyload-ng antérieures ou égales à 0.5.0b3.dev96 et a été corrigée dans la version 0.5.0b3.dev97.
L'impact de cette vulnérabilité est critique. Un attaquant, en obtenant la permission SETTINGS (qui peut être plus facile à obtenir qu'un accès administrateur), peut modifier la valeur de reconnect.script pour pointer vers un fichier exécutable malveillant. Lorsque pyload-ng tente de se reconnecter, il exécutera ce fichier, donnant à l'attaquant un contrôle total sur le système. Cette exécution se fait via subprocess.run(), ce qui signifie que l'attaquant peut potentiellement exécuter n'importe quel code avec les privilèges de l'utilisateur pyload-ng. Le risque de compromission du système est élevé, et la propagation potentielle pourrait affecter d'autres services en fonction de la configuration du serveur.
Cette vulnérabilité a été rendue publique le 20 mars 2026. Il n'y a pas d'indication actuelle qu'elle soit activement exploitée, mais la facilité d'exploitation et la gravité de l'impact en font une cible potentielle. Il n'est pas listé sur KEV à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'obtenir la permission SETTINGS.
Organizations and individuals using pyload-ng for download management, particularly those with multiple users or shared hosting environments, are at risk. Systems where the SETTINGS permission has been granted to non-administrative users are especially vulnerable. Legacy configurations that haven't been regularly updated are also at increased risk.
• linux / server:
journalctl -u pyload-ng | grep -i "reconnect.script"• python / supply-chain:
import os
config_path = os.path.expanduser('~/.config/pyload-ng/config.json')
with open(config_path, 'r') as f:
config = json.load(f)
if 'reconnect' in config and 'script' in config['reconnect']:
print(f"Potential vulnerability: reconnect.script set to {config['reconnect']['script']}")• generic web:
Use curl or wget to check for the existence of the /api/v1/settings/setconfigvalue endpoint. Examine the response headers for any unusual or unexpected content.
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 25%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau pyload-ng vers la version 0.5.0b3.dev97 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement consiste à restreindre l'accès à l'API setconfigvalue() aux seuls utilisateurs administrateurs. Il est également possible de configurer un pare-feu applicatif web (WAF) pour bloquer les requêtes modifiant la configuration reconnect.script. En outre, surveillez les journaux d'accès et d'erreurs pour détecter toute tentative de modification non autorisée de la configuration. Après la mise à niveau, vérifiez que la configuration reconnect.script est correctement définie et qu'elle ne pointe pas vers un fichier exécutable non autorisé.
Mettez à jour pyLoad à la version 0.5.0b3.dev97 ou supérieure. Cette version corrige la vulnérabilité qui permet l'exécution de code à distance via la configuration du script de reconnexion.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33509 is a Remote Code Execution vulnerability in pyload-ng where a privileged user can modify the reconnect.script configuration to execute arbitrary code.
You are affected if you are using pyload-ng versions ≤0.5.0b3.dev96 and have users with the SETTINGS permission.
Upgrade to pyload-ng version 0.5.0b3.dev97 or later. Restrict the SETTINGS permission to trusted users as a temporary workaround.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official pyload-ng project's website or GitHub repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.