प्लेटफ़ॉर्म
python
घटक
pyload-ng
में ठीक किया गया
0.5.1
0.5.1
CVE-2026-35464 pyload-ng में मनमाने फ़ाइल एक्सेस की भेद्यता है। यह भेद्यता हमलावरों को Flask फ़ाइल सिस्टम सत्र स्टोर में दुर्भावनापूर्ण पेलोड रखने और किसी भी HTTP अनुरोध के साथ संबंधित सत्र कुकी के आने पर मनमाने कोड निष्पादित करने की अनुमति देती है। यह भेद्यता pyload-ng के संस्करणों ≤0.5.0b3 को प्रभावित करती है। 2026-04-04 को प्रकाशित, इस समस्या को 0.5.0b3.dev96 में ठीक किया गया है।
यह भेद्यता pyload-ng उपयोगकर्ताओं के लिए गंभीर जोखिम पैदा करती है। एक हमलावर, जिसके पास SETTINGS और ADD अनुमतियाँ हैं, Flask सत्र फ़ाइल में एक दुर्भावनापूर्ण पेलोड को सफलतापूर्वक इंजेक्ट कर सकता है। यह पेलोड, एक बार ट्रिगर होने पर, सर्वर पर मनमाने कोड निष्पादित करने की अनुमति देगा। संभावित प्रभाव में संवेदनशील डेटा का समझौता, सिस्टम का पूर्ण नियंत्रण, और अन्य प्रणालियों में आगे का प्रसार शामिल है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह Flask फ़ाइल सिस्टम सत्र स्टोर के माध्यम से सीधे कोड निष्पादन की अनुमति देती है, जिससे पारंपरिक सुरक्षा उपायों को बायपास करना आसान हो जाता है।
CVE-2026-35464 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका सक्रिय शोषण संभव है। इस भेद्यता की सार्वजनिक घोषणा 2026-04-04 को हुई थी।
Organizations and individuals utilizing pyload-ng for download management, particularly those with multiple users and less stringent access controls, are at risk. Shared hosting environments where multiple users share the same pyload-ng instance are especially vulnerable, as an attacker could potentially compromise the entire environment through a single user account.
• python / server:
import os
import pickle
# Check for unusual files in the Flask session directory
session_dir = '/path/to/your/pyload-ng/flask_session'
for filename in os.listdir(session_dir):
if filename.endswith('.pkl'):
print(f"Suspicious pickle file found: {session_dir}/{filename}")• python / server:
# Monitor for unusual processes accessing the Flask session directory
ps aux | grep 'pickle' | grep '/path/to/your/pyload-ng/flask_session'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.09% (26% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35464 के प्रभाव को कम करने के लिए, तुरंत pyload-ng को संस्करण 0.5.0b3.dev96 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Flask सत्र निर्देशिका के लिए सख्त पहुंच नियंत्रण लागू करने पर विचार करें। सुनिश्चित करें कि केवल विश्वसनीय उपयोगकर्ता ही इस निर्देशिका तक पहुंच सकते हैं। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर करें ताकि संभावित दुर्भावनापूर्ण पेलोड को फ़िल्टर किया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, Flask सत्र फ़ाइल में किसी भी अनपेक्षित परिवर्तन की निगरानी करके और यह सुनिश्चित करके कि कोई अनधिकृत कोड निष्पादित नहीं हो रहा है।
Actualice pyLoad a la versión 0.5.0b3.dev96 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de protección en la opción 'storage_folder', previniendo la ejecución arbitraria de código a través de la tienda de sesiones de Flask.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35464 pyload-ng में एक भेद्यता है जो हमलावरों को Flask सत्र फ़ाइल में दुर्भावनापूर्ण पेलोड रखकर मनमाने कोड निष्पादित करने की अनुमति देती है।
यदि आप pyload-ng के संस्करण ≤0.5.0b3 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-35464 को ठीक करने के लिए, pyload-ng को संस्करण 0.5.0b3.dev96 में अपग्रेड करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण सक्रिय शोषण संभव है।
आधिकारिक सलाहकार के लिए pyload-ng परियोजना की वेबसाइट या संबंधित सुरक्षा घोषणाओं की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।