प्लेटफ़ॉर्म
python
घटक
pyload-ng
में ठीक किया गया
0.4.1
0.5.1
CVE-2026-33509 pyload-ng में एक रिमोट कोड निष्पादन (RCE) भेद्यता है। यह भेद्यता SETTINGS अनुमति वाले उपयोगकर्ताओं को किसी भी कॉन्फ़िगरेशन विकल्प को बिना किसी प्रतिबंध के संशोधित करने की अनुमति देती है, जिससे वे reconnect.script विकल्प को किसी भी निष्पादन योग्य फ़ाइल पर सेट कर सकते हैं। यह भेद्यता pyload-ng के संस्करणों ≤0.5.0b3.dev96 को प्रभावित करती है और इसे 0.5.0b3.dev97 में ठीक किया गया है।
यह भेद्यता एक हमलावर को pyload-ng सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, सिस्टम को दूषित कर सकता है, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकता है। reconnect.script विकल्प के माध्यम से निष्पादन योग्य फ़ाइल को नियंत्रित करने की क्षमता हमलावर को सिस्टम पर उच्च विशेषाधिकार प्राप्त करने की अनुमति देती है। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक कॉन्फ़िगरेशन विकल्प का दुरुपयोग मनमाना कोड निष्पादन की ओर ले जाता है।
CVE-2026-33509 को अभी तक KEV में सूचीबद्ध नहीं किया गया है। CVSS स्कोर 7.5 है, जो मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता के कारण सक्रिय शोषण की संभावना है। यह भेद्यता 2026-03-20 को प्रकाशित हुई थी।
Organizations and individuals using pyload-ng for download management, particularly those with multiple users or shared hosting environments, are at risk. Systems where the SETTINGS permission has been granted to non-administrative users are especially vulnerable. Legacy configurations that haven't been regularly updated are also at increased risk.
• linux / server:
journalctl -u pyload-ng | grep -i "reconnect.script"• python / supply-chain:
import os
config_path = os.path.expanduser('~/.config/pyload-ng/config.json')
with open(config_path, 'r') as f:
config = json.load(f)
if 'reconnect' in config and 'script' in config['reconnect']:
print(f"Potential vulnerability: reconnect.script set to {config['reconnect']['script']}")• generic web:
Use curl or wget to check for the existence of the /api/v1/settings/setconfigvalue endpoint. Examine the response headers for any unusual or unexpected content.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (25% शतमक)
CISA SSVC
CVE-2026-33509 को कम करने के लिए, pyload-ng को तुरंत संस्करण 0.5.0b3.dev97 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो reconnect.script कॉन्फ़िगरेशन विकल्प को एक सुरक्षित, गैर-निष्पादन योग्य फ़ाइल पर सेट करने पर विचार करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके setconfigvalue() API एंडपॉइंट तक पहुंच को सीमित करना भी एक अस्थायी उपाय हो सकता है। कॉन्फ़िगरेशन फ़ाइलों की नियमित निगरानी करें ताकि अनधिकृत परिवर्तनों का पता लगाया जा सके।
Actualice pyLoad a la versión 0.5.0b3.dev97 o superior. Esta versión corrige la vulnerabilidad que permite la ejecución remota de código a través de la configuración del script de reconexión.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33509 pyload-ng में एक रिमोट कोड निष्पादन भेद्यता है जो SETTINGS अनुमति वाले उपयोगकर्ताओं को मनमाना कोड निष्पादित करने की अनुमति देती है।
यदि आप pyload-ng के संस्करण ≤0.5.0b3.dev96 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-33509 को ठीक करने के लिए, pyload-ng को संस्करण 0.5.0b3.dev97 में अपग्रेड करें।
CVE-2026-33509 के सक्रिय शोषण का कोई ज्ञात प्रमाण नहीं है, लेकिन भेद्यता की गंभीरता के कारण सक्रिय शोषण की संभावना है।
आधिकारिक pyload-ng सलाहकार के लिए, कृपया pyload.org पर जाएँ।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।