HIGHCVE-2026-35187CVSS 7.7

CVE-2026-35187：pyload-ng SSRF漏洞，风险高！

Q: pyLoad 中的 CVE-2026-35187 是否会影响我？

不需要，利用可以在内部网络上执行。

Q: 如何修复 pyLoad 中的 CVE-2026-35187？

存储在本地文件和内部网络资源中的敏感信息。

Q: CVE-2026-35187 是否正在被积极利用？

限制具有 ADD 权限的用户访问内部网络，并监控服务器日志。

Q: 在哪里可以找到 pyLoad 关于 CVE-2026-35187 的官方安全通告？

监控服务器日志中是否存在可疑的 URL 请求，特别是使用 `file://` 协议的请求。

平台

python

组件

pyload

修复版本

0.5.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-35187 是 pyload-ng 中的一个服务器端请求伪造 (SSRF) 漏洞。parseurls API 函数在没有进行任何 URL 验证、协议限制或 IP 黑名单的情况下，通过 geturl(url) (pycurl) 获取任意 URL。经过身份验证的用户可以利用此漏洞读取本地文件，与内部服务交互，并枚举文件是否存在。此漏洞影响 pyload-ng ≤0.5.0b3.dev96 版本。目前没有官方补丁可用。

影响与攻击场景

pyLoad 中的 CVE-2026-35187 允许具有 ADD 权限的经过身份验证的用户向内部网络资源和云元数据端点发送 HTTP/HTTPS 请求。这是由于 src/pyload/core/api/init.py 中 parseurls 函数缺乏 URL 验证造成的。 geturl(url) (pycurl) 函数在没有协议限制或 IP 黑名单的情况下，在服务器端任意获取 URL。攻击者可以使用 file:// 协议读取本地文件，因为 pycurl 在服务器端读取文件。主要影响是可能泄露敏感信息、未经授权访问内部资源，以及如果与其他漏洞结合使用，则可能执行代码。

利用背景

具有 ADD 权限的 pyLoad 中的经过身份验证的用户可以利用此漏洞。它不需要 root 权限或外部网络访问。攻击者需要能够操纵提供给 parse_urls 函数的 URL 输入。利用相对简单，因为它不需要高级技术技能。该漏洞的严重性因潜在的敏感信息泄露以及与其他系统中的其他漏洞结合使用时特权升级的可能性而加剧。

哪些人处于风险中翻译中…

Organizations using pyLoad for download management, particularly those with internal networks accessible from the internet, are at risk. Shared hosting environments where multiple users have access to the pyLoad API are especially vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability and access resources belonging to other users.

检测步骤翻译中…

• python / server:

import requests
import re

def check_pyload_ssrf(url):
    try:
        response = requests.get(url, timeout=5)
        if response.status_code == 200:
            if re.search(r'file://', url) or re.search(r'gopher://', url) or re.search(r'dict://', url):
                print(f"Potential SSRF vulnerability detected: {url}")
            else:
                print(f"URL accessed: {url}")
    except requests.exceptions.RequestException as e:
        print(f"Error accessing {url}: {e}")

# Example usage (replace with actual API endpoint)
api_endpoint = "http://your-pyload-server/api/add"

# Test with potentially malicious URLs
check_pyload_ssrf("file:///etc/passwd")
check_pyload_ssrf("gopher://127.0.0.1/some_internal_service")

攻击时间线

2026-04-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件pyload

供应商pyload

影响范围修复版本

<= 0.5.0b3.dev96 – <= 0.5.0b3.dev960.5.1

弱点分类 (CWE)

CWE-918

时间线

已保留2026-04-01
发布日期2026-04-06
修改日期2026-04-07
EPSS 更新日期2026-04-14

缓解措施和替代方案

CVE-2026-35187 的解决方案是将 pyLoad 更新到 0.5.0b3.dev96 或更高版本。此版本通过在 parse_urls 函数中实现 URL 验证和协议限制来解决此漏洞。同时，作为临时措施，建议限制具有 ADD 权限的经过身份验证的用户访问内部网络和云元数据端点。此外，审查和审计 pyLoad 中的用户权限以最大程度地降低被利用的风险至关重要。监控服务器日志中与 URL 请求相关的可疑活动也可以帮助检测和响应潜在攻击。

修复方法

升级到 0.5.0b3.dev96 或更高版本以缓解 SSRF 漏洞。此版本实现了 URL 验证和协议限制，以防止未经授权访问内部资源。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-35187 是什么 — pyLoad 中的 SSRF？

pyLoad 中需要 ADD 权限。

pyLoad 中的 CVE-2026-35187 是否会影响我？