pyLoad: parse_urls API एंडपॉइंट में SSRF, बिना मान्य किए गए URL पैरामीटर के माध्यम से

pyLoad में CVE-2026-35187 एक प्रमाणित उपयोगकर्ता को ADD अनुमति के साथ आंतरिक नेटवर्क संसाधनों और क्लाउड मेटाडेटा एंडपॉइंट्स को HTTP/HTTPS अनुरोध भेजने की अनुमति देता है। यह src/pyload/core/api/init.py में parseurls फ़ंक्शन में URL सत्यापन की कमी के कारण है। geturl(url) (pycurl) फ़ंक्शन प्रोटोकॉल प्रतिबंधों या IP ब्लैकलिस्ट के बिना सर्वर-साइड पर मनमाने ढंग से URL प्राप्त करता है। एक हमलावर file:// प्रोटोकॉल का उपयोग करके स्थानीय फ़ाइलों को पढ़ सकता है, क्योंकि pycurl सर्वर-साइड पर फ़ाइल को पढ़ता है। मुख्य प्रभाव संवेदनशील जानकारी का संभावित प्रकटीकरण, आंतरिक संसाधनों तक अनधिकृत पहुंच और अन्य कमजोरियों के साथ संयोजन में कोड निष्पादन की संभावना है।

Organizations using pyLoad for download management, particularly those with internal networks accessible from the internet, are at risk. Shared hosting environments where multiple users have access to the pyLoad API are especially vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability and access resources belonging to other users.

• python / server:

import requests
import re

def check_pyload_ssrf(url):
    try:
        response = requests.get(url, timeout=5)
        if response.status_code == 200:
            if re.search(r'file://', url) or re.search(r'gopher://', url) or re.search(r'dict://', url):
                print(f"Potential SSRF vulnerability detected: {url}")
            else:
                print(f"URL accessed: {url}")
    except requests.exceptions.RequestException as e:
        print(f"Error accessing {url}: {e}")

# Example usage (replace with actual API endpoint)
api_endpoint = "http://your-pyload-server/api/add"

# Test with potentially malicious URLs
check_pyload_ssrf("file:///etc/passwd")
check_pyload_ssrf("gopher://127.0.0.1/some_internal_service")

1. 2026-04-06Disclosure

   disclosure

1. आरक्षित2026-04-01
2. प्रकाशित2026-04-06
3. संशोधित2026-04-07
4. EPSS अद्यतन2026-04-14

CVE-2026-35187 के लिए समाधान pyLoad को संस्करण 0.5.0b3.dev96 या बाद के संस्करण में अपडेट करना है। यह संस्करण parse_urls फ़ंक्शन में URL सत्यापन और प्रोटोकॉल प्रतिबंधों को लागू करके इस कमजोरियों को संबोधित करता है। इस बीच, एक अस्थायी उपाय के रूप में, आंतरिक नेटवर्क और क्लाउड मेटाडेटा एंडपॉइंट्स तक पहुंच को ADD अनुमतियों वाले प्रमाणित उपयोगकर्ताओं तक सीमित करने की अनुशंसा की जाती है। pyLoad में उपयोगकर्ता अनुमतियों की समीक्षा और ऑडिट करना भी शोषण के जोखिम को कम करने के लिए महत्वपूर्ण है। URL अनुरोधों से संबंधित सर्वर लॉग में संदिग्ध गतिविधि की निगरानी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में भी मदद कर सकती है।