Plataforma
python
Componente
pyload-ng
Corrigido em
0.5.1
0.5.1
Uma vulnerabilidade de Acesso Arbitrário de Arquivos foi descoberta no pyload-ng, afetando versões até 0.5.0b3. Esta falha permite que um atacante execute código arbitrário no sistema, explorando uma falha na restrição de acesso a opções de configuração críticas. A correção para CVE-2026-33509 introduziu uma lista de opções restritas, mas a opção 'storage_folder' não foi incluída, permitindo a manipulação do armazenamento de sessão Flask.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante com permissões SETTINGS e ADD direcione downloads para o diretório de sessão Flask, inserindo um payload malicioso pickle. Quando qualquer requisição HTTP chega com o cookie de sessão correspondente, o payload é executado, resultando na execução de código arbitrário no servidor. O impacto é severo, pois um atacante pode comprometer completamente o sistema, obter acesso a dados sensíveis e potencialmente se mover lateralmente para outros sistemas na rede. A capacidade de executar código arbitrário torna esta vulnerabilidade comparável em impacto a outras falhas de execução remota de código (RCE), embora a exploração exija uma etapa adicional de manipulação de sessão.
A vulnerabilidade foi publicada em 2026-04-04. A probabilidade de exploração é considerada média (EPSS score pendente), dada a complexidade da exploração e a necessidade de permissões específicas. Não há relatos públicos de exploração ativa no momento da publicação, mas a disponibilidade de informações detalhadas sobre a vulnerabilidade aumenta o risco de exploração futura. A vulnerabilidade não está listada no KEV (Kernel Exploit Vulnerability) como de alto risco.
Organizations and individuals utilizing pyload-ng for download management, particularly those with multiple users and less stringent access controls, are at risk. Shared hosting environments where multiple users share the same pyload-ng instance are especially vulnerable, as an attacker could potentially compromise the entire environment through a single user account.
• python / server:
import os
import pickle
# Check for unusual files in the Flask session directory
session_dir = '/path/to/your/pyload-ng/flask_session'
for filename in os.listdir(session_dir):
if filename.endswith('.pkl'):
print(f"Suspicious pickle file found: {session_dir}/{filename}")• python / server:
# Monitor for unusual processes accessing the Flask session directory
ps aux | grep 'pickle' | grep '/path/to/your/pyload-ng/flask_session'disclosure
Status do Exploit
EPSS
0.09% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o pyload-ng para a versão 0.5.0b3.dev96, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso ao diretório de sessão Flask, limitando as permissões de leitura e escrita apenas ao usuário do pyload-ng. Implemente regras em um Web Application Firewall (WAF) ou proxy para detectar e bloquear requisições HTTP suspeitas que envolvam o cookie de sessão. Monitore os logs do pyload-ng em busca de atividades anormais, como tentativas de acesso não autorizado ao diretório de sessão.
Actualice pyLoad a la versión 0.5.0b3.dev96 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de protección en la opción 'storage_folder', previniendo la ejecución arbitraria de código a través de la tienda de sesiones de Flask.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35464 is a HIGH severity vulnerability in pyload-ng versions up to 0.5.0b3 that allows attackers to redirect downloads and potentially execute arbitrary code by manipulating session files.
You are affected if you are using pyload-ng version 0.5.0b3 or earlier. Upgrade to 0.5.0b3.dev96 or later to resolve the vulnerability.
Upgrade pyload-ng to version 0.5.0b3.dev96 or later. If upgrading is not immediately possible, restrict user permissions to minimize the attack surface.
There is currently no indication of active exploitation campaigns targeting CVE-2026-35464, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is developed.
Refer to the pyload-ng project's official website and GitHub repository for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.