Platform
python
Component
pyload-ng
Opgelost in
0.5.1
0.5.1
0.5.0b3.dev97
CVE-2026-29778 beschrijft een Path Traversal kwetsbaarheid in pyload-ng, een Python-gebaseerd downloadmanager-programma. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker in staat om paden buiten de beoogde opslagdirectory te schrijven, wat kan leiden tot ongeautoriseerde toegang tot bestanden. De kwetsbaarheid treedt op in versies van pyload-ng tot en met 0.5.0b3.dev96, en is verholpen in versie 0.5.0b3.dev97.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een geauthenticeerde gebruiker met MODIFY-rechten in staat om willekeurige bestanden op het systeem te lezen of te overschrijven. Dit kan leiden tot data-exfiltratie, manipulatie van configuratiebestanden of zelfs de uitvoering van code, afhankelijk van de rechten van de gebruiker en de bestanden die worden aangetast. De impact is aanzienlijk, omdat het de integriteit en vertrouwelijkheid van het systeem in gevaar kan brengen. Het padtraverseren kan leiden tot toegang tot gevoelige informatie, zoals API-sleutels of wachtwoorden, die opgeslagen zijn op het systeem.
Op dit moment zijn er geen openbare exploitatiecampagnes bekend die specifiek gericht zijn op CVE-2026-29778. Er zijn ook geen public proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in de NVD (National Vulnerability Database) en gepubliceerd op 2026-03-05. De ernst is beoordeeld als HIGH (CVSS 7.1).
Users running pyLoad-ng versions prior to 0.5.0b3.dev97 are at risk, particularly those hosting the application on publicly accessible servers or within shared hosting environments. Systems where pyLoad-ng is used to process user-supplied input for file management are also at higher risk.
• python / server:
import os
import re
def check_pack_folder(pack_folder):
if '..' in pack_folder:
# Check for recursive traversal attempts
if re.search(r'../+', pack_folder):
print("Potential directory traversal attempt detected!")
return False
return True
# Example usage (replace with actual input)
pack_folder = input("Enter pack_folder: ")
if check_pack_folder(pack_folder):
print("Pack folder is safe.")
else:
print("Pack folder is potentially unsafe.")disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van pyload-ng naar versie 0.5.0b3.dev97 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de gebruiker die toegang heeft tot de editpackage() functie. Het implementeren van een strengere inputvalidatie op de packfolder parameter, bijvoorbeeld door een whitelist van toegestane karakters te gebruiken, kan ook helpen. Controleer de pyload-ng configuratie op onnodige permissies en beperk de toegang tot gevoelige bestanden. Na de upgrade, verifieer de correcte werking van de downloadmanager en controleer de logbestanden op verdachte activiteiten.
Actualice pyLoad a la versión 0.5.0b3.dev97 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal en la función edit_package().
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-29778 is a directory traversal vulnerability in pyLoad-ng versions up to 0.5.0b3.dev96, allowing attackers to access arbitrary files by bypassing sanitization.
You are affected if you are using pyLoad-ng versions 0.5.0b3.dev13 through 0.5.0b3.dev96. Upgrade to 0.5.0b3.dev97 or later to mitigate the risk.
Upgrade pyLoad-ng to version 0.5.0b3.dev97 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There are currently no confirmed reports of active exploitation, but the vulnerability's severity warrants prompt mitigation.
Refer to the pyLoad-ng project's official website or GitHub repository for the latest security advisories and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.