Platform
python
Component
pyload
Opgelost in
0.5.1
CVE-2026-35187 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de pyload-ng API. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker in staat om via de parse_urls functie willekeurige URL's op te halen, zonder adequate validatie of restricties. Dit kan leiden tot toegang tot interne netwerkbronnen, het lezen van lokale bestanden en interactie met interne services, en is van invloed op versies van pyload-ng tot en met 0.5.0b3.dev96. Een patch is beschikbaar in pyload-ng versie 1.0.0.
CVE-2026-35187 in pyLoad stelt een geauthenticeerde gebruiker met de ADD-machtiging in staat om HTTP/HTTPS-verzoeken te doen naar interne netwerkbronnen en cloud metadata-endpoints. Dit komt door een gebrek aan URL-validatie in de parseurls-functie binnen src/pyload/core/api/init.py. De geturl(url) (pycurl)-functie haalt URLs willekeurig server-side op zonder protocolrestricties of IP-blacklists. Een aanvaller kan lokale bestanden lezen met behulp van het file://-protocol, aangezien pycurl het bestand server-side leest. De belangrijkste impact is de mogelijke blootstelling van gevoelige informatie, ongeautoriseerde toegang tot interne bronnen en mogelijk code-uitvoering als deze wordt gecombineerd met andere kwetsbaarheden.
Deze kwetsbaarheid is uitbuitbaar door geauthenticeerde gebruikers met ADD-machtigingen in pyLoad. Het vereist geen root-privileges of externe netwerktoegang. De aanvaller moet in staat zijn om de URL-invoer te manipuleren die aan de parse_urls-functie wordt verstrekt. Exploitatie is relatief eenvoudig, omdat het geen geavanceerde technische vaardigheden vereist. De ernst van de kwetsbaarheid wordt vergroot door de potentiële blootstelling van gevoelige informatie en de mogelijkheid van privilege-escalatie als deze wordt gecombineerd met andere kwetsbaarheden in het systeem.
Organizations using pyLoad for download management, particularly those with internal networks accessible from the internet, are at risk. Shared hosting environments where multiple users have access to the pyLoad API are especially vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability and access resources belonging to other users.
• python / server:
import requests
import re
def check_pyload_ssrf(url):
try:
response = requests.get(url, timeout=5)
if response.status_code == 200:
if re.search(r'file://', url) or re.search(r'gopher://', url) or re.search(r'dict://', url):
print(f"Potential SSRF vulnerability detected: {url}")
else:
print(f"URL accessed: {url}")
except requests.exceptions.RequestException as e:
print(f"Error accessing {url}: {e}")
# Example usage (replace with actual API endpoint)
api_endpoint = "http://your-pyload-server/api/add"
# Test with potentially malicious URLs
check_pyload_ssrf("file:///etc/passwd")
check_pyload_ssrf("gopher://127.0.0.1/some_internal_service")disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
De oplossing voor CVE-2026-35187 is om pyLoad te updaten naar versie 0.5.0b3.dev96 of hoger. Deze versie pakt de kwetsbaarheid aan door URL-validatie en protocolrestricties in de parse_urls-functie te implementeren. In de tussentijd wordt, als tijdelijke maatregel, aanbevolen om geauthenticeerde gebruikers met ADD-machtigingen te beperken tot toegang tot het interne netwerk en cloud metadata-endpoints. Het is ook cruciaal om gebruikersrechten in pyLoad te beoordelen en te auditeren om het risico op uitbuiting te minimaliseren. Het monitoren van serverlogs op verdachte activiteiten gerelateerd aan URL-verzoeken kan ook helpen bij het detecteren en reageren op mogelijke aanvallen.
Werk bij naar versie 0.5.0b3.dev96 of hoger om de SSRF-vulnerability te mitigeren. Deze versie implementeert URL-validatie en protocolrestricties om ongeautoriseerde toegang tot interne resources te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ADD-rechten in pyLoad zijn vereist.
Nee, exploitatie kan worden uitgevoerd vanaf het interne netwerk.
Gevoelige informatie die is opgeslagen in lokale bestanden en interne netwerkbronnen.
Beperk de toegang van gebruikers met ADD-rechten tot het interne netwerk en monitor de serverlogs.
Monitor de serverlogs op verdachte URL-verzoeken, met name die het file://-protocol gebruiken.
CVSS-vector
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.