Plataforma
python
Componente
pyload
Corrigido em
0.4.10
Uma vulnerabilidade de Path Traversal foi descoberta em pyLoad, um gerenciador de downloads open-source escrito em Python. Essa falha, presente em versões anteriores a 0.5.0b3.dev97, permite que um atacante, durante a verificação de senha de arquivos 7z criptografados, exclua arquivos arbitrariamente fora do diretório de extração. A vulnerabilidade foi corrigida na versão 0.5.0b3.dev97.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante a exclusão de arquivos críticos no sistema onde o pyLoad está instalado. Isso pode levar à perda de dados, interrupção de serviços e, potencialmente, à escalada de privilégios, dependendo das permissões do usuário que executa o pyLoad. A falta de validação adequada do nome da entrada do arquivo durante a verificação de senha possibilita a manipulação do caminho do arquivo, permitindo que o atacante acesse e exclua arquivos fora do diretório esperado. Embora o impacto direto seja a exclusão de arquivos, a possibilidade de comprometer arquivos de configuração ou dados sensíveis aumenta significativamente o risco.
Esta vulnerabilidade foi divulgada em 2026-03-20. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há provas públicas de um Proof of Concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade (Path Traversal) a torna potencialmente explorável. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Users who rely on pyLoad for downloading files and are running versions prior to 0.5.0b3.dev97 are at risk. This includes individuals and organizations using pyLoad in automated download scripts or as part of their workflow. Shared hosting environments where multiple users share the same pyLoad installation are particularly vulnerable, as a compromised archive could affect all users on the system.
• linux / server:
find / -type f -name '*.7z' -mtime +7 -print # Identify old 7z archives
journalctl -u pylload -f | grep -i "password verification" # Monitor password verification logs• python:
import os
import hashlib
# Check for unusual file paths during password verification
# (This requires code analysis of the pyLoad source code)• generic web: Inspect web server access logs for requests containing unusual file paths or attempts to access 7z archives from untrusted sources.
disclosure
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 0.5.0b3.dev97 ou superior do pyLoad. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir as permissões do usuário que executa o pyLoad para limitar o impacto potencial da exclusão de arquivos. Monitore os logs do sistema em busca de atividades suspeitas relacionadas à manipulação de arquivos e à verificação de senhas. Embora não haja regras WAF específicas para esta vulnerabilidade, a implementação de regras gerais de proteção contra Path Traversal pode ajudar a mitigar o risco.
Actualice pyLoad a la versión 0.5.0b3.dev97 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32808 is a Path Traversal vulnerability in pyLoad, a Python download manager, allowing attackers to delete files outside the intended extraction directory by exploiting password verification of encrypted 7z archives.
You are affected if you are using pyLoad versions 0.4.9-6262-g2fa0b11d3 and below 0.5.0b3.dev97.
Upgrade pyLoad to version 0.5.0b3.dev97 or later to resolve the vulnerability. Consider temporary workarounds like restricting the extraction directory if immediate upgrade is not possible.
There is currently no evidence of active exploitation of CVE-2026-32808, but the vulnerability's nature suggests a potential for future exploitation.
Refer to the official pyLoad project repository or website for the latest security advisories and updates related to CVE-2026-32808.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.