CVE-2026-35463: pyload-ng Remote Code Execution (HIGH)
Platform
python
Component
pyload-ng
In pyload-ng is een kwetsbaarheid ontdekt waarbij een niet-admin gebruiker met SETTINGS permissies remote code kan uitvoeren door de configuratie van een plugin te manipuleren. De `AntiVirus` plugin slaat een uitvoerbaar pad op in de configuratie, dat direct wordt doorgegeven aan `subprocess.Popen()`. Deze kwetsbaarheid treft versies van pyload-ng tot en met 0.5.0b3.dev96. Er is geen officiële patch beschikbaar.
Hoe te verhelpen
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Veelgestelde vragen
Wat is CVE-2026-35463?
CVE-2026-35463 is een kwetsbaarheid in pyload-ng waardoor een niet-admin gebruiker remote code kan uitvoeren.
Ben ik kwetsbaar?
Ja, als u pyload-ng gebruikt in versie 0.5.0b3.dev96 of lager bent u kwetsbaar.
Hoe kan ik dit mitigeren?
Er is geen officiële patch beschikbaar. Overweeg het beperken van de rechten van gebruikers en het zorgvuldig controleren van plugin configuraties.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen