CRITICALCVE-2024-22416CVSS 9.7

pyLoad のあらゆる API 呼び出しにおける Cross-Site Request Forgery (CSRF) により、管理者権限の昇格につながる可能性があります

Q: CVE-2024-22416 — 特権昇格 in pyLoadとは何ですか？

CVE-2024-22416は、pyLoadのAPIにおいて、CookieにSameSite属性がないため、認証されていないユーザーによるクロスサイトリクエストフォージング（CSRF）攻撃を許容する脆弱性です。

Q: CVE-2024-22416 in pyLoadに影響を受けますか？

pyLoadのバージョンが0.5.0b3.dev78以前の場合は、この脆弱性に影響を受けます。

Q: CVE-2024-22416 in pyLoadを修正するにはどうすればよいですか？

pyLoadをバージョン0.5.0b3.dev78にアップグレードしてください。

Q: CVE-2024-22416は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、CSRF攻撃の容易さから、早期に悪用される可能性があります。

Q: CVE-2024-22416に関するpyLoadの公式アドバイザリはどこで入手できますか？

pyLoadの公式アドバイザリは、プロジェクトのウェブサイトまたはGitHubリポジトリで確認してください。

プラットフォーム

python

コンポーネント

pyload/pyload

修正版

0.5.1

AI Confidence: highNVDEPSS 5.9%レビュー済み: 2026年5月

NVDで見る

保存

pyLoadはPythonで書かれた無料のオープンソースダウンロードマネージャーです。CVE-2024-22416は、pyLoadのAPIにおける脆弱性であり、認証されていないユーザーがクロスサイトリクエストフォージング（CSRF）攻撃を実行し、特権を昇格させることが可能です。この脆弱性は、バージョン0.5.0b3.dev78以前のpyLoadに影響を与えます。最新バージョンである0.5.0b3.dev78へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証なしにpyLoadのAPIを介して任意の操作を実行できます。具体的には、機密情報の窃取、設定の変更、さらにはシステム全体の制御奪取といった攻撃が考えられます。CSRF攻撃は、ユーザーが意図せずに悪意のある操作を実行してしまうため、特に危険です。攻撃者は、ユーザーがpyLoadを使用しているWebサイトにアクセスする際に、悪意のあるリクエストを仕込むことで、この脆弱性を悪用できます。この攻撃は、他のWebアプリケーションにおけるCSRF攻撃と同様のパターンに従います。

悪用の状況

この脆弱性は、2024年1月17日に公開されました。現時点では、公的なPoCは確認されていませんが、CSRF攻撃の容易さから、早期に悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。この脆弱性は、特にpyLoadを公開サーバー上で運用している場合に、攻撃対象となりやすいと考えられます。

リスク対象者翻訳中…

Systems running pyLoad versions prior to 0.5.0b3.dev78 are at risk, particularly those exposed to untrusted networks or web applications. Shared hosting environments where multiple users share the same pyLoad instance are especially vulnerable, as an attacker could potentially exploit the vulnerability through a compromised website on the same server.

検出手順翻訳中…

• python: Monitor pyLoad API endpoint requests for unusual origins. Use Python's logging module to log all API requests, including the Origin header.

import logging
# Example: Log requests with suspicious origins
logging.basicConfig(level=logging.INFO)

def log_request(origin):
    if 'suspicious-domain.com' in origin:
        logging.info(f'Suspicious origin detected: {origin}')

• generic web: Examine web server access logs for requests to pyLoad API endpoints originating from unexpected or unauthorized domains. Look for patterns indicative of CSRF attacks. • generic web: Check response headers for the absence of SameSite=Strict on pyLoad API cookies. Use curl -I <pyloadapiurl> to inspect headers.

攻撃タイムライン

2024-01-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

5.90% (91% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpyload/pyload

ベンダーpyload

影響範囲修正版

< 0.5.0b3.dev78 – < 0.5.0b3.dev780.5.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2024-01-10
公開日2024-01-17
更新日2025-06-17
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まず、pyLoadをバージョン0.5.0b3.dev78にアップグレードすることを強く推奨します。アップグレードが一時的に困難な場合は、Webアプリケーションファイアウォール（WAF）やリバースプロキシを設定し、CSRF攻撃を検知・防御するルールを適用することを検討してください。また、pyLoadのAPIエンドポイントへのアクセスを制限し、認証を強化することも有効です。アップグレード後、pyLoadのログを確認し、不審なAPI呼び出しがないか確認してください。

修正方法

pyLoad をバージョン 0.5.0b3.dev78 以降にアップデートしてください。このバージョンでは、適切な保護対策を実装することで、CSRF の脆弱性が修正されています。アップデートは、Python パッケージマネージャーを介するか、公式リポジトリから最新バージョンをダウンロードすることで実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-22416 — 特権昇格 in pyLoadとは何ですか？