UNKNOWNCVE-2026-35463
CVE-2026-35463: pyload-ng RCE脆弱性 (≤0.5.0b3.dev96)
プラットフォーム
python
コンポーネント
pyload-ng
pyload-ngの`ADMIN_ONLY_OPTIONS`保護メカニズムは、セキュリティクリティカルな設定値を管理者のみへのアクセスに制限します。しかし、この保護はコア設定オプションにのみ適用され、プラグイン設定オプションには適用されません。AntiVirusプラグインは、実行可能パス (`avfile`) を設定に保存し、それを`subprocess.Popen()`に直接渡します。SETTING権限を持つ非管理者ユーザーは、このパスを変更することでリモートコード実行を達成できます。影響を受けるバージョンは0.5.0b3.dev96以下です。現時点では公式な修正パッチは公開されていません。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-35463とは何ですか?
pyload-ngのバージョン0.5.0b3.dev96以下において、AntiVirusプラグインの設定を悪用したリモートコード実行脆弱性です。
私は影響を受けていますか?
pyload-ngのバージョンが0.5.0b3.dev96以下で、AntiVirusプラグインを使用している場合、この脆弱性の影響を受ける可能性があります。
どうすれば修正できますか?
現時点では公式パッチは提供されていません。プラグインの設定を慎重に管理し、非管理者ユーザーが設定を変更できないようにアクセス制御を強化することを検討してください。