Platform
python
Component
pyload-ng
Opgelost in
0.5.1
0.5.1
CVE-2026-33992 betreft een Server-Side Request Forgery (SSRF) kwetsbaarheid in pyLoad. Dit maakt het mogelijk om toegang te krijgen tot interne netwerkdiensten en cloud metadata te exfiltreren. Gebruikers van oudere versies zijn kwetsbaar. De fix is beschikbaar in versie 0.5.0b3.dev97.
CVE-2026-33992 in PyLoad stelt een geauthenticeerde aanvaller in staat om Server-Side Request Forgery (SSRF)-aanvallen uit te voeren. Dit komt doordat PyLoads download engine willekeurige URL's accepteert zonder juiste validatie. Een aanvaller kan dit gebruiken om toegang te krijgen tot interne netwerkdiensten en cloud provider metadata te exfiltreren. Met name op DigitalOcean droplets legt deze kwetsbaarheid gevoelige infrastructuurgegevens bloot, waaronder de droplet ID, de netwerkconfiguratie, de regio, authenticatiesleutels en SSH-sleutels die zijn geconfigureerd in user-data/cloud-init. De CVSS-score van 9.5 duidt op een kritieke ernst, wat betekent dat een succesvolle exploitatie aanzienlijke gevolgen kan hebben voor de vertrouwelijkheid, integriteit en beschikbaarheid van getroffen systemen.
Een aanvaller met geauthenticeerde toegang tot PyLoad kan deze kwetsbaarheid uitbuiten door kwaadaardige verzoeken te sturen die interne of externe URL's bevatten. PyLoads download engine, zonder juiste validatie, verwerkt deze verzoeken en kan mogelijk gevoelige informatie prijsgeven of ongeautoriseerde bronnen benaderen. In het geval van DigitalOcean droplets kan een aanvaller deze kwetsbaarheid gebruiken om SSH-sleutels te verkrijgen en de droplet te compromitteren. De eenvoud van exploitatie en het hoge potentiële effect maken deze kwetsbaarheid tot een belangrijk probleem voor PyLoad-gebruikers.
Organizations and individuals deploying pyload-ng, particularly those hosted on cloud platforms like DigitalOcean, are at significant risk. Legacy configurations with default credentials or weak authentication mechanisms are especially vulnerable. Shared hosting environments where multiple users share the same pyload-ng instance also face increased exposure.
• python / server:
import requests
import re
# Check for suspicious outbound requests in pyload-ng logs
# Look for requests to internal IP addresses or cloud metadata endpoints
with open('/path/to/pyload-ng/logs/download.log', 'r') as f:
for line in f:
if re.search(r'https?://10\.\d+\.\d+\.\d+', line) or re.search(r'https?://169\.254\.\d+\.\d+', line):
print(f'Potential SSRF detected: {line}')• generic web:
curl -I <pyload-ng_api_endpoint>/api/addPackage?url=http://169.254.169.254/latest/meta-data/ # Check for response indicating metadata accessdisclosure
Exploit Status
EPSS
0.06% (20% percentiel)
CISA SSVC
De oplossing voor deze kwetsbaarheid is om PyLoad te updaten naar versie 0.5.0b3.dev97 of hoger. Deze versie corrigeert het gebrek aan URL-validatie in de download engine, waardoor het risico op SSRF-aanvallen wordt verminderd. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om PyLoad-systemen te beschermen tegen mogelijke aanvallen. Controleer bovendien netwerk- en beveiligingsconfiguraties om ervoor te zorgen dat alleen de noodzakelijke toegang tot interne services is toegestaan. Het monitoren van PyLoad-logs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op mogelijke exploitatiepogingen.
Actualice pyLoad a la versión 0.5.0b3.dev97 o superior. Esta versión contiene una corrección para la vulnerabilidad SSRF. La actualización evitará que atacantes accedan a servicios internos y exfiltren metadatos de la nube.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een SSRF-aanval (Server-Side Request Forgery) treedt op wanneer een aanvaller een server kan misleiden om verzoeken te doen naar bronnen waar de server geen toegang toe zou moeten hebben, zowel intern als extern.
Op DigitalOcean droplets stelt de kwetsbaarheid een aanvaller in staat om toegang te krijgen tot gevoelige informatie, zoals de droplet ID, de netwerkconfiguratie, SSH-sleutels en andere inloggegevens die zijn opgeslagen in user-data/cloud-init.
Als u PyLoad niet onmiddellijk kunt updaten, overweeg dan om mitigerende maatregelen te implementeren, zoals het beperken van de toegang tot PyLoad en het monitoren van de logs op verdachte activiteiten.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar het wordt aanbevolen om penetratietests en beveiligingsaudits uit te voeren om potentiële zwakheden te identificeren.
U kunt meer informatie over CVE-2026-33992 vinden bij beveiligingsbronnen en in de PyLoad repository.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.