HIGHCVE-2026-33509CVSS 7.5

pyLoad SETTINGS権限を持つユーザーが、制限のないReconnectionスクリプト設定を通じてリモートコード実行を達成できる

Q: CVE-2026-33509 — RCE in pyload-ngとは何ですか？

CVE-2026-33509は、pyload-ngのバージョン0.5.0b3.dev96以下に存在するリモートコード実行(RCE)脆弱性です。SETTINGS権限を持つユーザーが設定値を操作し、任意のコードを実行できる可能性があります。

Q: CVE-2026-33509 in pyload-ngに影響を受けますか？

pyload-ngのバージョンが0.5.0b3.dev96以下の場合、影響を受けます。バージョン0.5.0b3.dev97以上にアップデートしてください。

Q: CVE-2026-33509 in pyload-ngを修正するにはどうすればよいですか？

pyload-ngをバージョン0.5.0b3.dev97以上にアップデートしてください。アップデートが困難な場合は、`reconnect.script`設定の値を制限するか、無効化してください。

Q: CVE-2026-33509は積極的に悪用されていますか？

現時点では、積極的な悪用事例は確認されていませんが、脆弱性の性質上、早期に悪用される可能性は否定できません。

Q: CVE-2026-33509に関するpyload-ngの公式アドバイザリはどこで入手できますか？

pyload-ngの公式アドバイザリは、プロジェクトのウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

python

コンポーネント

pyload-ng

修正版

0.4.1

0.5.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33509は、pyload-ngのバージョン0.5.0b3.dev96以下のSETTINGS権限を持つユーザーに影響を与えるリモートコード実行(RCE)脆弱性です。この脆弱性を悪用されると、攻撃者は設定値を操作し、システム上で任意のコードを実行できる可能性があります。影響を受けるバージョンは0.5.0b3.dev96以下ですが、バージョン0.5.0b3.dev97に修正が提供されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がpyload-ngの設定を不正に操作し、システム上で任意のコードを実行することを可能にします。具体的には、reconnect.script設定を悪用することで、任意の実行ファイルを指定し、その実行結果をシステムに反映させることができます。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。類似の脆弱性は、設定ファイルの不正な書き込みを伴うアプリケーションで確認されており、この脆弱性も同様の攻撃ベクトルが想定されます。

悪用の状況

この脆弱性は、2026年3月20日に公開されました。現時点では、KEVに登録されていません。公開されているPoCは確認されていませんが、脆弱性の性質上、早期に悪用される可能性は否定できません。NVDおよびCISAの情報を注視し、最新の情報を収集することが重要です。

リスク対象者翻訳中…

Organizations and individuals using pyload-ng for download management, particularly those with multiple users or shared hosting environments, are at risk. Systems where the SETTINGS permission has been granted to non-administrative users are especially vulnerable. Legacy configurations that haven't been regularly updated are also at increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u pyload-ng | grep -i "reconnect.script"

• python / supply-chain:

import os
config_path = os.path.expanduser('~/.config/pyload-ng/config.json')
with open(config_path, 'r') as f:
    config = json.load(f)
    if 'reconnect' in config and 'script' in config['reconnect']:
        print(f"Potential vulnerability: reconnect.script set to {config['reconnect']['script']}")

• generic web: Use curl or wget to check for the existence of the /api/v1/settings/setconfigvalue endpoint. Examine the response headers for any unusual or unexpected content.

攻撃タイムライン

2026-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.08% (25% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントpyload-ng

ベンダーosv

影響範囲修正版

>= 0.4.0, < 0.5.0b3.dev97 – >= 0.4.0, < 0.5.0b3.dev970.4.1

0.4.0 – 0.5.0b3.dev960.5.1

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2026-03-20
公開日2026-03-20
更新日2026-03-27
EPSS 更新日2026-04-01

公開後19日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずpyload-ngをバージョン0.5.0b3.dev97以上にアップデートすることを推奨します。アップデートが困難な場合は、reconnect.script設定の値を厳重に制限する、またはこの設定自体を無効化することを検討してください。また、WAFやIPSなどのセキュリティ機器を導入し、不正な設定変更を検知・防御する仕組みを構築することも有効です。設定変更のログを監視し、異常な変更がないか定期的に確認することも重要です。アップデート後、reconnect.script設定が適切に制限されていることを確認してください。

修正方法

pyLoadをバージョン0.5.0b3.dev97以降にアップデートしてください。このバージョンは、リコネクションスクリプト設定を介したリモートコード実行を可能にする脆弱性を修正しています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33509 — RCE in pyload-ngとは何ですか？