Plataforma
python
Componente
pyload-ng
Corrigido em
0.4.1
0.5.1
A vulnerabilidade CVE-2026-33509 é uma falha de Execução Remota de Código (RCE) presente em versões do pyload-ng até a 0.5.0b3.dev96. A exploração permite que usuários com permissão SETTINGS modifiquem configurações críticas, incluindo o reconnect.script, que é executado por meio do subprocess.run(), possibilitando a execução de código arbitrário no sistema. A correção foi lançada na versão 0.5.0b3.dev97.
Um atacante pode explorar essa vulnerabilidade obtendo a permissão SETTINGS no pyload-ng. Com essa permissão, o atacante pode modificar o reconnect.script para apontar para um executável malicioso no sistema. Quando o thread manager tenta se reconectar, o executável malicioso é executado com os privilégios do processo pyload-ng, permitindo a execução de código arbitrário. O impacto é a completa tomada de controle do sistema onde o pyload-ng está rodando, com potencial para roubo de dados, instalação de malware ou uso como ponto de apoio para ataques a outros sistemas na rede. A falta de validação adequada nas configurações torna essa vulnerabilidade particularmente perigosa.
A vulnerabilidade foi divulgada em 2026-03-20. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A descrição da vulnerabilidade sugere um padrão de exploração similar a outras falhas de configuração que permitem a execução de código arbitrário. É importante monitorar a atividade do pyload-ng e procurar por sinais de exploração.
Organizations and individuals using pyload-ng for download management, particularly those with multiple users or shared hosting environments, are at risk. Systems where the SETTINGS permission has been granted to non-administrative users are especially vulnerable. Legacy configurations that haven't been regularly updated are also at increased risk.
• linux / server:
journalctl -u pyload-ng | grep -i "reconnect.script"• python / supply-chain:
import os
config_path = os.path.expanduser('~/.config/pyload-ng/config.json')
with open(config_path, 'r') as f:
config = json.load(f)
if 'reconnect' in config and 'script' in config['reconnect']:
print(f"Potential vulnerability: reconnect.script set to {config['reconnect']['script']}")• generic web:
Use curl or wget to check for the existence of the /api/v1/settings/setconfigvalue endpoint. Examine the response headers for any unusual or unexpected content.
disclosure
Status do Exploit
EPSS
0.08% (percentil 25%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o pyload-ng para a versão 0.5.0b3.dev97 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso à API setconfigvalue() apenas a administradores confiáveis. Implementar um sistema de controle de acesso mais granular, limitando as permissões SETTINGS a usuários específicos e monitorando as alterações de configuração. Além disso, utilize um Web Application Firewall (WAF) para bloquear requisições suspeitas à API setconfigvalue(). Verifique se o arquivo reconnect.script não foi modificado e se aponta para o local esperado. Após a atualização, confirme a correção verificando se a API setconfigvalue() restringe a modificação do reconnect.script a administradores.
Atualize pyLoad para a versão 0.5.0b3.dev97 ou superior. Esta versão corrige a vulnerabilidade que permite a execução remota de código através da configuração do script de reconexão.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33509 is a Remote Code Execution vulnerability in pyload-ng where a privileged user can modify the reconnect.script configuration to execute arbitrary code.
You are affected if you are using pyload-ng versions ≤0.5.0b3.dev96 and have users with the SETTINGS permission.
Upgrade to pyload-ng version 0.5.0b3.dev97 or later. Restrict the SETTINGS permission to trusted users as a temporary workaround.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official pyload-ng project's website or GitHub repository for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.