Plateforme
python
Composant
pyload-ng
Corrigé dans
0.5.1
0.5.1
La vulnérabilité CVE-2026-33992 concerne une faille de type SSRF (Server-Side Request Forgery) dans pyLoad, un gestionnaire de téléchargement. Cette faille permet à un attaquant authentifié d'accéder à des services internes et d'exfiltrer des données sensibles. Les versions affectées sont celles antérieures ou égales à 0.5.0b3.dev97. La correction est disponible dans la version 0.5.0b3.dev97.
La vulnérabilité CVE-2026-33992 dans PyLoad permet à un attaquant authentifié de lancer des attaques de Falsification de Requête Côté Serveur (SSRF). Ceci est dû au moteur de téléchargement de PyLoad qui accepte des URL arbitraires sans validation appropriée. Un attaquant peut exploiter cela pour accéder aux services du réseau interne et exfiltrer des métadonnées du fournisseur de cloud. En particulier, sur les droplets DigitalOcean, cette vulnérabilité expose des données d'infrastructure sensibles, notamment l'ID du droplet, la configuration réseau, la région, les clés d'authentification et les clés SSH configurées dans user-data/cloud-init. Le score CVSS de 9,5 indique une sévérité critique, ce qui signifie qu'une exploitation réussie pourrait avoir un impact significatif sur la confidentialité, l'intégrité et la disponibilité des systèmes affectés.
Un attaquant ayant un accès authentifié à PyLoad peut exploiter cette vulnérabilité en envoyant des requêtes malveillantes contenant des URL internes ou externes. Le moteur de téléchargement de PyLoad, sans validation appropriée, traitera ces requêtes et pourrait potentiellement révéler des informations sensibles ou accéder à des ressources non autorisées. Dans le cas des droplets DigitalOcean, un attaquant pourrait utiliser cette vulnérabilité pour obtenir des clés SSH et compromettre le droplet. La facilité d'exploitation et l'impact potentiel élevé font de cette vulnérabilité une préoccupation majeure pour les utilisateurs de PyLoad.
Organizations and individuals deploying pyload-ng, particularly those hosted on cloud platforms like DigitalOcean, are at significant risk. Legacy configurations with default credentials or weak authentication mechanisms are especially vulnerable. Shared hosting environments where multiple users share the same pyload-ng instance also face increased exposure.
• python / server:
import requests
import re
# Check for suspicious outbound requests in pyload-ng logs
# Look for requests to internal IP addresses or cloud metadata endpoints
with open('/path/to/pyload-ng/logs/download.log', 'r') as f:
for line in f:
if re.search(r'https?://10\.\d+\.\d+\.\d+', line) or re.search(r'https?://169\.254\.\d+\.\d+', line):
print(f'Potential SSRF detected: {line}')• generic web:
curl -I <pyload-ng_api_endpoint>/api/addPackage?url=http://169.254.169.254/latest/meta-data/ # Check for response indicating metadata accessdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
La solution à cette vulnérabilité est de mettre à jour PyLoad vers la version 0.5.0b3.dev97 ou supérieure. Cette version corrige le manque de validation d'URL dans le moteur de téléchargement, atténuant ainsi le risque d'attaques SSRF. Il est fortement recommandé d'appliquer cette mise à jour dès que possible pour protéger les systèmes PyLoad contre d'éventuelles attaques. De plus, examinez les configurations réseau et de sécurité pour vous assurer que seul l'accès nécessaire aux services internes est autorisé. La surveillance des journaux PyLoad à la recherche d'activités suspectes peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles.
Mettez à jour pyLoad vers la version 0.5.0b3.dev97 ou supérieure. Cette version contient une correction pour la vulnérabilité SSRF. La mise à jour empêchera les attaquants d'accéder aux services internes et d'exfiltrer les métadonnées du cloud.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une attaque SSRF (Server-Side Request Forgery) se produit lorsqu'un attaquant peut tromper un serveur pour qu'il effectue des requêtes vers des ressources auxquelles le serveur ne devrait pas avoir accès, que ce soit en interne ou en externe.
Sur les droplets DigitalOcean, la vulnérabilité permet à un attaquant d'accéder à des informations sensibles telles que l'ID du droplet, la configuration réseau, les clés SSH et autres informations d'identification stockées dans user-data/cloud-init.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de mettre en œuvre des mesures d'atténuation telles que la restriction de l'accès à PyLoad et la surveillance des journaux à la recherche d'activités suspectes.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais il est recommandé de réaliser des tests d'intrusion et des audits de sécurité afin d'identifier d'éventuelles faiblesses.
Vous pouvez trouver plus d'informations sur la vulnérabilité CVE-2026-33992 auprès des sources de sécurité et du référentiel PyLoad.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.