pyLoad SSRF 漏洞 (CVE-2026-33992) 允许访问内部网络

PyLoad中的CVE-2026-33992允许经过身份验证的攻击者执行服务器端请求伪造（SSRF）攻击。这是由于PyLoad的下载引擎在没有适当验证的情况下接受任意URL。攻击者可以利用这一点来访问内部网络服务并提取云提供商元数据。特别是，在DigitalOcean droplet上，此漏洞会暴露敏感的基础设施数据，包括droplet ID、网络配置、区域、身份验证密钥和user-data/cloud-init中配置的SSH密钥。CVSS评分9.5表示严重程度为关键，这意味着成功的利用可能会对受影响系统的机密性、完整性和可用性产生重大影响。

Organizations and individuals deploying pyload-ng, particularly those hosted on cloud platforms like DigitalOcean, are at significant risk. Legacy configurations with default credentials or weak authentication mechanisms are especially vulnerable. Shared hosting environments where multiple users share the same pyload-ng instance also face increased exposure.

• python / server:

import requests
import re

# Check for suspicious outbound requests in pyload-ng logs
# Look for requests to internal IP addresses or cloud metadata endpoints
with open('/path/to/pyload-ng/logs/download.log', 'r') as f:
    for line in f:
        if re.search(r'https?://10\.\d+\.\d+\.\d+', line) or re.search(r'https?://169\.254\.\d+\.\d+', line):
            print(f'Potential SSRF detected: {line}')

• generic web:

curl -I <pyload-ng_api_endpoint>/api/addPackage?url=http://169.254.169.254/latest/meta-data/  # Check for response indicating metadata access

1. 2026-03-27Disclosure

   disclosure

1. 已保留2026-03-24
2. 发布日期2026-03-27
3. 修改日期2026-03-30
4. EPSS 更新日期2026-04-04

此漏洞的解决方案是将PyLoad更新到版本0.5.0b3.dev97或更高版本。此版本修复了下载引擎中URL验证的缺失，从而降低了SSRF攻击的风险。强烈建议尽快应用此更新以保护PyLoad系统免受潜在攻击。此外，请审查网络和安全配置，以确保仅允许访问内部服务的必要访问权限。监控PyLoad日志以查找可疑活动也有助于检测和响应潜在的利用尝试。