Platform
python
Component
pyload
Opgelost in
0.4.10
CVE-2026-32808 beschrijft een Path Traversal kwetsbaarheid in pyLoad, een open-source download manager geschreven in Python. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden te verwijderen buiten de extractiedirectory, door misbruik te maken van de password verificatie van versleutelde 7z archieven. De kwetsbaarheid treft versies van pyLoad vóór 0.5.0b3.dev97. Een fix is beschikbaar in versie 0.5.0b3.dev97.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde bestand verwijdering op het systeem waar pyLoad draait. Aangezien pyLoad een download manager is, kan dit potentieel gevoelige gegevens in gecompromitteerde archieven blootleggen of de integriteit van het systeem aantasten. De impact is aanzienlijk, omdat een aanvaller in staat is om bestanden te verwijderen, zelfs als ze versleuteld zijn, zolang ze de juiste wachtwoorden hebben. Dit kan leiden tot dataverlies, systeeminstabiliteit en mogelijk verdere compromittering van het systeem.
Op dit moment is er geen publieke exploitatie bevestigd, maar de kwetsbaarheid is openbaar bekendgemaakt. Het is aannemelijk dat er in de toekomst proof-of-concept exploits beschikbaar komen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de potentiële dreiging aangeeft. De complexiteit van het exploiteren hangt af van de beschikbaarheid van de juiste wachtwoorden voor de versleutelde 7z archieven.
Users who rely on pyLoad for downloading files and are running versions prior to 0.5.0b3.dev97 are at risk. This includes individuals and organizations using pyLoad in automated download scripts or as part of their workflow. Shared hosting environments where multiple users share the same pyLoad installation are particularly vulnerable, as a compromised archive could affect all users on the system.
• linux / server:
find / -type f -name '*.7z' -mtime +7 -print # Identify old 7z archives
journalctl -u pylload -f | grep -i "password verification" # Monitor password verification logs• python:
import os
import hashlib
# Check for unusual file paths during password verification
# (This requires code analysis of the pyLoad source code)• generic web: Inspect web server access logs for requests containing unusual file paths or attempts to access 7z archives from untrusted sources.
disclosure
Exploit Status
EPSS
0.09% (25% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van pyLoad naar versie 0.5.0b3.dev97 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de password verificatie functie voor versleutelde 7z archieven, hoewel dit de beveiliging van de archieven zelf vermindert. Implementeer strikte toegangscontroles op de extractiedirectory om de impact van een succesvolle exploitatie te beperken. Controleer de pyLoad installatie op verdachte bestanden of processen die wijzen op een inbreuk.
Actualice pyLoad a la versión 0.5.0b3.dev97 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32808 is a Path Traversal vulnerability in pyLoad, a Python download manager, allowing attackers to delete files outside the intended extraction directory by exploiting password verification of encrypted 7z archives.
You are affected if you are using pyLoad versions 0.4.9-6262-g2fa0b11d3 and below 0.5.0b3.dev97.
Upgrade pyLoad to version 0.5.0b3.dev97 or later to resolve the vulnerability. Consider temporary workarounds like restricting the extraction directory if immediate upgrade is not possible.
There is currently no evidence of active exploitation of CVE-2026-32808, but the vulnerability's nature suggests a potential for future exploitation.
Refer to the official pyLoad project repository or website for the latest security advisories and updates related to CVE-2026-32808.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.