UNKNOWNCVE-2026-35187
CVE-2026-35187:pyload-ng SSRF漏洞,风险高!
平台
python
组件
pyload-ng
CVE-2026-35187 是 pyload-ng 中的一个服务器端请求伪造 (SSRF) 漏洞。`parse_urls` API 函数在没有进行任何 URL 验证、协议限制或 IP 黑名单的情况下,通过 `get_url(url)` (pycurl) 获取任意 URL。经过身份验证的用户可以利用此漏洞读取本地文件,与内部服务交互,并枚举文件是否存在。此漏洞影响 pyload-ng ≤0.5.0b3.dev96 版本。目前没有官方补丁可用。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
什么是 CVE-2026-35187 漏洞?
CVE-2026-35187 是 pyload-ng 中的一个 SSRF 漏洞,允许攻击者向内部服务器发送恶意请求,读取本地文件等。
我是否受到 CVE-2026-35187 漏洞的影响?
如果您正在使用 pyload-ng ≤0.5.0b3.dev96 版本,则您可能受到此漏洞的影响。
如何修复或缓解 CVE-2026-35187 漏洞?
目前没有官方补丁可用。建议监控 pyload-ng 的更新,并在发布补丁后立即应用。同时,审查和限制用户权限可以降低风险。