Plataforma
python
Componente
pyload
Corrigido em
0.5.1
A vulnerabilidade CVE-2026-35187 é uma falha de Server-Side Request Forgery (SSRF) presente na função parse_urls do pyload-ng, permitindo que usuários autenticados com permissão ADD realizem requisições arbitrárias para recursos internos e externos. Essa falha pode levar à leitura de arquivos locais, interação com serviços internos e enumeração de arquivos, representando um risco significativo para a segurança do sistema. A vulnerabilidade afeta versões do pyload-ng até a 0.5.0b3.dev96, e a correção está disponível em versões mais recentes.
A vulnerabilidade CVE-2026-35187 no pyLoad permite que um usuário autenticado com permissão de ADD faça solicitações HTTP/HTTPS para recursos da rede interna e endpoints de metadados em nuvem. Isso ocorre devido à falta de validação de URL na função parseurls dentro de src/pyload/core/api/init.py. A função geturl(url) (pycurl) busca URLs de forma arbitrária do lado do servidor sem restrições de protocolo ou listas de bloqueio de IP. Um atacante pode ler arquivos locais usando o protocolo file://, já que o pycurl lê o arquivo do lado do servidor. O impacto principal é a possível exposição de informações confidenciais, acesso não autorizado a recursos internos e, potencialmente, a execução de código se combinados com outras vulnerabilidades.
Esta vulnerabilidade é explorável por usuários autenticados com permissão de ADD no pyLoad. Não requer privilégios de root ou acesso à rede externa. O atacante precisa ser capaz de manipular a entrada de URL fornecida à função parse_urls. A exploração é relativamente simples, pois não requer habilidades técnicas avançadas. A gravidade da vulnerabilidade é agravada pelo potencial de acesso a informações confidenciais e a possibilidade de escalada de privilégios se combinados com outras vulnerabilidades no sistema.
Organizations using pyLoad for download management, particularly those with internal networks accessible from the internet, are at risk. Shared hosting environments where multiple users have access to the pyLoad API are especially vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability and access resources belonging to other users.
• python / server:
import requests
import re
def check_pyload_ssrf(url):
try:
response = requests.get(url, timeout=5)
if response.status_code == 200:
if re.search(r'file://', url) or re.search(r'gopher://', url) or re.search(r'dict://', url):
print(f"Potential SSRF vulnerability detected: {url}")
else:
print(f"URL accessed: {url}")
except requests.exceptions.RequestException as e:
print(f"Error accessing {url}: {e}")
# Example usage (replace with actual API endpoint)
api_endpoint = "http://your-pyload-server/api/add"
# Test with potentially malicious URLs
check_pyload_ssrf("file:///etc/passwd")
check_pyload_ssrf("gopher://127.0.0.1/some_internal_service")disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
A solução para CVE-2026-35187 é atualizar o pyLoad para a versão 0.5.0b3.dev96 ou posterior. Esta versão corrige a vulnerabilidade ao implementar a validação de URL e restrições de protocolo na função parse_urls. Enquanto isso, como medida temporária, recomenda-se restringir o acesso de usuários autenticados com permissão de ADD à rede interna e aos endpoints de metadados em nuvem. Também é crucial revisar e auditar as permissões de usuário no pyLoad para minimizar o risco de exploração. Monitorar os logs do servidor em busca de atividades suspeitas relacionadas às solicitações de URL também pode ajudar a detectar e responder a possíveis ataques.
Atualize para a versão 0.5.0b3.dev96 ou superior para mitigar a vulnerabilidade de SSRF. Esta versão implementa a validação de URL e restrições de protocolo para prevenir o acesso não autorizado a recursos internos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É necessária a permissão de ADD no pyLoad.
Não, a exploração pode ser realizada a partir da rede interna.
Informações confidenciais armazenadas em arquivos locais e recursos da rede interna.
Restrinja o acesso de usuários com permissão de ADD à rede interna e monitore os logs do servidor.
Monitore os logs do servidor em busca de solicitações de URL suspeitas, especialmente aquelas que utilizam o protocolo file://.
Vetor CVSS
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.