pyLoad: SSRF no endpoint da API parse_urls via parâmetro URL não validado

## Detalhes da Vulnerabilidade **CWE-918**: Server-Side Request Forgery (SSRF) A função da API `parse_urls` em `src/pyload/core/api/__init__.py` (linha 556) busca URLs arbitrárias no servidor via `get_url(url)` (pycurl) sem nenhuma validação de URL, restrição de protocolo ou lista negra de IP. Um usuário autenticado com permissão ADD pode: - Fazer requisições HTTP/HTTPS para recursos de rede interna e endpoints de metadados de nuvem - **Ler arquivos locais** via protocolo `file://` (pycurl lê o arquivo no servidor) - **Interagir com serviços internos** via protocolos `gopher://` e `dict://` - **Enumerar a existência de arquivos** via oracle baseado em erro (erro 37 vs resposta vazia) ### Código Vulnerável **`src/pyload/core/api/__init__.py` (linha 556)**: ```python def parse_urls(self, html=None, url=None): if url: page = get_url(url) # Sem restrição de protocolo, sem validação de URL, sem lista negra de IP urls.update(RE_URLMATCH.findall(page)) ``` Nenhuma validação é aplicada ao parâmetro `url`. O pycurl subjacente suporta `file://`, `gopher://`, `dict://` e outros protocolos perigosos por padrão. ## Passos para Reproduzir ### Configuração ```bash docker run -d --name pyload -p 8084:8000 linuxserver/pyload