Platform
python
Component
pyload-ng
Opgelost in
0.5.1
0.5.1
CVE-2026-35459 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in pyload-ng. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker in staat om de IP-validatie te omzeilen die in een eerdere patch is geïmplementeerd, door gebruik te maken van HTTP redirects. De kwetsbaarheid treedt op in pyload-ng versies tot en met 0.5.0b3.dev96, en er is een patch beschikbaar in versie 0.5.1.dev100.
CVE-2026-35459 in pyload stelt een geauthenticeerde gebruiker met ADD-rechten in staat om de SSRF-mitigatie (Server-Side Request Forgery) te omzeilen die is geïmplementeerd om CVE-2026-33992 te verhelpen. De vorige fix voerde IP-validatie in BaseDownloader.download() in om de hostnaam van de initiële download-URL te verifiëren. Echter, pycurl is geconfigureerd met FOLLOWLOCATION=1 en MAXREDIRS=10, waardoor het automatisch HTTP-doorverwijzingen volgt. Het probleem is dat de doel-URL's van deze doorverwijzingen niet worden gevalideerd tegen de SSRF-filter, waardoor toegang tot interne bronnen mogelijk is.
Een aanvaller die is geauthenticeerd met ADD-rechten kan deze kwetsbaarheid uitbuiten door een initiële URL te verstrekken die naar een intern adres doorverwijst. De FOLLOWLOCATION-instelling van pycurl zorgt ervoor dat de download deze doorverwijzing volgt, waardoor de oorspronkelijke IP-validatie wordt omzeild. Dit stelt de aanvaller in staat om toegang te krijgen tot interne bronnen die normaal gesproken beschermd zouden worden door de SSRF-filter. De vereiste authenticatie beperkt de impact tot gebruikers met ADD-rechten binnen het systeem.
Organizations using pyload-ng for download management, particularly those with internal services accessible from the network, are at risk. Shared hosting environments where multiple users have ADD permissions within pyload-ng are especially vulnerable, as a compromised user account could be leveraged to exploit this SSRF vulnerability.
• python / server:
import requests
import urllib.parse
def check_redirects(url):
try:
response = requests.get(url, allow_redirects=True, timeout=5)
print(f"Final URL: {response.url}")
return True # Redirects followed
except requests.exceptions.RequestException as e:
print(f"Error: {e}")
return False
# Example usage (replace with pyload-ng specific URLs)
url_to_check = "http://example.com/redirect?url=http://127.0.0.1:8000/internal/resource"
check_redirects(url_to_check)• generic web:
curl -I 'http://your-pyload-ng-instance/your-endpoint?url=http://internal-ip/sensitive-resource' | grep 'Location:'disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
Er is momenteel geen officiële oplossing (fix) voor CVE-2026-35459. De aanbevolen mitigatie is om HTTP-doorverwijzingen in de pycurl-configuratie uit te schakelen door FOLLOWLOCATION=0 in te stellen. Alternatief kan extra URL-validatie worden geïmplementeerd voor de doel-URL's van de doorverwijzingen binnen de functie BaseDownloader.download() om ervoor te zorgen dat ze overeenkomen met het verwachte domein. Het is cruciaal om deze mitigatie zo snel mogelijk toe te passen om het risico op uitbuiting te verminderen. Houd de beveiligingsupdates van pyload in de gaten voor een officiële oplossing.
Actualice pyLoad a una versión corregida. La vulnerabilidad se debe a una falta de validación adecuada de las redirecciones HTTP después de una corrección previa. Verifique la documentación oficial de pyload para obtener instrucciones específicas de actualización y asegúrese de que el entorno esté actualizado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt de server te laten verzoeken om bronnen die niet van buitenaf toegankelijk zouden moeten zijn.
ADD-rechten verwijzen naar het vermogen van een gebruiker om nieuwe items binnen het pyload-systeem toe te voegen of te maken.
Als u een versie van pyload gebruikt die de fix voor CVE-2026-33992 bevat en pycurl is geconfigureerd met FOLLOWLOCATION=1, is de kans groot dat u kwetsbaar bent voor CVE-2026-35459.
Ja, u kunt extra URL-validatie implementeren voor de doel-URL's van de doorverwijzingen binnen de functie BaseDownloader.download(). Dit is complexer, maar stelt u in staat om de doorverwijsfunctionaliteit te behouden met meer veiligheid.
Er is geen geschatte datum voor een officiële oplossing. Houd de beveiligingsupdates van pyload in de gaten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.