pyLoad: `parse_urls` API エンドポイントにおける未検証の URL パラメータによる SSRF

pyLoad の CVE-2026-35187 は、ADD 権限を持つ認証済みユーザーが、内部ネットワークリソースやクラウドメタデータエンドポイントに対して HTTP/HTTPS リクエストを送信することを可能にします。 これは、src/pyload/core/api/init.py 内の parseurls 関数における URL 検証の欠如が原因です。 geturl(url) (pycurl) 関数は、プロトコル制限や IP ブラックリストなしに、サーバー側で任意に URL を取得します。 攻撃者は file:// プロトコルを使用してローカルファイルを読み取ることができます。なぜなら、pycurl はサーバー側でファイルを読み取るからです。主な影響は、機密情報の漏洩、内部リソースへの不正アクセス、および他の脆弱性と組み合わせることでコードの実行の可能性です。

Organizations using pyLoad for download management, particularly those with internal networks accessible from the internet, are at risk. Shared hosting environments where multiple users have access to the pyLoad API are especially vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability and access resources belonging to other users.

• python / server:

import requests
import re

def check_pyload_ssrf(url):
    try:
        response = requests.get(url, timeout=5)
        if response.status_code == 200:
            if re.search(r'file://', url) or re.search(r'gopher://', url) or re.search(r'dict://', url):
                print(f"Potential SSRF vulnerability detected: {url}")
            else:
                print(f"URL accessed: {url}")
    except requests.exceptions.RequestException as e:
        print(f"Error accessing {url}: {e}")

# Example usage (replace with actual API endpoint)
api_endpoint = "http://your-pyload-server/api/add"

# Test with potentially malicious URLs
check_pyload_ssrf("file:///etc/passwd")
check_pyload_ssrf("gopher://127.0.0.1/some_internal_service")

1. 2026-04-06Disclosure

   disclosure

1. 予約済み2026-04-01
2. 公開日2026-04-06
3. 更新日2026-04-07
4. EPSS 更新日2026-04-14

CVE-2026-35187 の解決策は、pyLoad をバージョン 0.5.0b3.dev96 以降に更新することです。このバージョンは、parse_urls 関数に URL 検証とプロトコル制限を実装することで、この脆弱性を修正します。その間、一時的な措置として、ADD 権限を持つ認証済みユーザーが内部ネットワークやクラウドメタデータエンドポイントにアクセスできないように制限することをお勧めします。また、pyLoad 内のユーザー権限をレビューおよび監査して、搾取のリスクを最小限に抑えることが重要です。URL リクエストに関連するサーバーログの疑わしいアクティビティを監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。