HIGHCVE-2026-32808CVSS 8.1

pyLoad: 暗号化された7zパスワード検証中にパス・トラバーサルによる任意のファイル削除

Q: CVE-2026-32808 — パス・トラバーサルはpyLoadで何ですか？

CVE-2026-32808は、pyLoadのバージョン0.4.9-6262-g2fa0b11d3から0.5.0b3.dev97未満に影響するパス・トラバーサル脆弱性で、攻撃者が任意のファイルを削除する可能性があります。

Q: CVE-2026-32808はpyLoadで影響を受けますか？

pyLoadのバージョン0.4.9-6262-g2fa0b11d3以上、0.5.0b3.dev97未満を使用している場合は、影響を受けます。

Q: CVE-2026-32808はpyLoadでどのように修正しますか？

pyLoadをバージョン0.5.0b3.dev97以降にアップデートしてください。

Q: CVE-2026-32808のpyLoad公式アドバイザリはどこで入手できますか？

pyLoadの公式アドバイザリは、プロジェクトのウェブサイトまたはGitHubリポジトリで確認してください。

プラットフォーム

python

コンポーネント

pyload

修正版

0.4.10

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

pyLoadはPythonで書かれた無料のオープンソースダウンロードマネージャーです。CVE-2026-32808は、特定の暗号化された7zアーカイブのパスワード検証プロセスにおけるパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、抽出ディレクトリ外の任意のファイルを削除する可能性があります。影響を受けるバージョンは0.4.9-6262-g2fa0b11d3以上、0.5.0b3.dev97未満です。この問題はバージョン0.5.0b3.dev97で修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がpyLoadのパスワード検証機能を悪用することで、システム上の任意のファイルを削除することを可能にします。攻撃者は、悪意のある7zアーカイブを作成し、pyLoadに処理させることで、抽出ディレクトリ外の重要なシステムファイルや設定ファイルを削除できます。これにより、システムの可用性が低下し、データ損失が発生する可能性があります。特に、pyLoadがシステム管理者の権限で実行されている場合、攻撃の影響はさらに拡大し、システム全体への影響を及ぼす可能性があります。この脆弱性は、7zアーカイブの構造を理解している攻撃者にとって、比較的簡単に悪用できる可能性があります。

悪用の状況

このCVEは2026年3月20日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、パス・トラバーサルという一般的な脆弱性タイプであり、他の同様の脆弱性と同様の攻撃手法が適用される可能性があります。

リスク対象者翻訳中…

Users who rely on pyLoad for downloading files and are running versions prior to 0.5.0b3.dev97 are at risk. This includes individuals and organizations using pyLoad in automated download scripts or as part of their workflow. Shared hosting environments where multiple users share the same pyLoad installation are particularly vulnerable, as a compromised archive could affect all users on the system.

検出手順翻訳中…

• linux / server:

find / -type f -name '*.7z' -mtime +7 -print # Identify old 7z archives
journalctl -u pylload -f | grep -i "password verification" # Monitor password verification logs

• python:

import os
import hashlib
# Check for unusual file paths during password verification
# (This requires code analysis of the pyLoad source code)

• generic web: Inspect web server access logs for requests containing unusual file paths or attempts to access 7z archives from untrusted sources.

攻撃タイムライン

2026-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.09% (25% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントpyload

ベンダーpyload

影響範囲修正版

>= 0.4.9-6262-g2fa0b11d3, < 0.5.0b3.dev97 – >= 0.4.9-6262-g2fa0b11d3, < 0.5.0b3.dev970.4.10

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-16
公開日2026-03-20
更新日2026-03-25
EPSS 更新日2026-03-27

緩和策と回避策

この脆弱性への主な対策は、pyLoadをバージョン0.5.0b3.dev97以降にアップデートすることです。アップデートできない場合は、7zアーカイブの処理を一時的に停止するか、信頼できないソースからの7zアーカイブの処理を制限することを検討してください。WAFやプロキシサーバーを使用している場合は、pyLoadへの7zアーカイブのアップロードをブロックするルールを実装することも有効です。また、ファイルシステムのアクセス権を適切に設定し、pyLoadがアクセスできるディレクトリを制限することで、攻撃の影響範囲を限定できます。

修正方法翻訳中…

Actualice pyLoad a la versión 0.5.0b3.dev97 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32808 — パス・トラバーサルはpyLoadで何ですか？