HIGHCVE-2026-35463CVSS 8.8

CVE-2026-35463：pyload-ng RCE漏洞，高危！

Q: CVE-2026-35463 是什么 — pyLoad 中的 Remote Code Execution (RCE)？

这意味着攻击者可以在系统上执行任何命令或程序，从而获得对服务器的完全控制权。

Q: pyLoad 中的 CVE-2026-35463 是否会影响我？

如果您使用的是 0.5.0b3.dev96 之前的 pyLoad 版本，并且启用了 AntiVirus 插件，则很可能受到影响。

Q: 如何修复 pyLoad 中的 CVE-2026-35463？

禁用 AntiVirus 插件或限制非管理员用户的权限。

Q: CVE-2026-35463 是否正在被积极利用？

有可能。建议随时了解来自 pyLoad 的最新安全更新并查看安全文档。

Q: 在哪里可以找到 pyLoad 关于 CVE-2026-35463 的官方安全通告？

您可以在漏洞数据库（如 NVD（国家漏洞数据库））或 pyLoad 社区论坛上找到更多信息。

平台

python

组件

pyload

修复版本

0.5.1

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-35463 是 pyload-ng 中的一个远程代码执行 (RCE) 漏洞。该漏洞源于 ADMINONLYOPTIONS 保护机制仅应用于核心配置选项，而未应用于插件配置选项。攻击者可以利用 AntiVirus 插件中的可执行文件路径配置，通过修改该路径来执行任意代码。此漏洞影响 pyload-ng ≤0.5.0b3.dev96 版本。目前没有官方补丁可用。

影响与攻击场景

pyLoad 中的 CVE-2026-35463 影响 0.5.0b3.dev96 及更早版本。虽然 pyLoad 实施了“ADMINONLYOPTIONS”保护，以限制对重新连接脚本、SSL 证书和代理凭据等敏感配置的访问，但此保护不适用于插件配置选项。AntiVirus 插件在其配置中存储了一个可执行路径 (avfile)，该路径直接传递给 subprocess.Popen()。非管理员用户可能会利用此漏洞在系统上执行任意代码，从而危及运行 pyLoad 的服务器的安全性。任意代码执行可能允许未经授权访问数据、修改文件和接管系统。

利用背景

具有 AntiVirus 插件配置访问权限的非管理员用户可以将 'avfile' 可执行路径修改为指向恶意文件。当 pyLoad 执行 AntiVirus 插件时，该恶意文件将以运行 pyLoad 的用户的权限执行，从而可能允许执行任意代码。缺少路径验证使得此漏洞易受攻击。利用的复杂性取决于环境和运行 pyLoad 的用户的权限。

哪些人处于风险中翻译中…

Organizations using pyLoad as a download manager, particularly those with multiple users and granular permission settings, are at risk. Shared hosting environments where users have access to plugin configuration files are especially vulnerable. Legacy pyLoad installations running the affected versions are also at increased risk.

检测步骤翻译中…

• python / process monitoring: Monitor pyLoad processes for unexpected child processes.

Get-Process pyLoad -ErrorAction SilentlyContinue | Select-Object -ExpandProperty ProcessName

• python / file integrity monitoring: Monitor the AntiVirus plugin's configuration file for unexpected changes to the avfile path.

import hashlib
expected_hash = 'your_expected_hash_here'
with open('path/to/plugin/config.ini', 'rb') as f:
    current_hash = hashlib.md5(f.read()).hexdigest()
if current_hash != expected_hash:
    print('Configuration file modified!')

• generic web: Monitor pyLoad's web interface logs for suspicious activity related to plugin configuration changes.

攻击时间线

2026-04-07Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.29% (52% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件pyload

供应商pyload

影响范围修复版本

<= 0.5.0b3.dev96 – <= 0.5.0b3.dev960.5.1

弱点分类 (CWE)

CWE-78

时间线

已保留2026-04-02
发布日期2026-04-07
修改日期2026-04-08
EPSS 更新日期2026-04-15

未修复 — 披露已47天

缓解措施和替代方案

目前，此漏洞没有官方修复程序。最有效的缓解措施是升级到 0.5.0b3.dev96 之后的 pyLoad 版本，一旦可用。在此期间，建议禁用 AntiVirus 插件，或者，如果绝对必要，严格限制非管理员用户对 pyLoad 配置的访问。监控系统活动和安全警报可以帮助检测潜在的利用尝试。此外，建议审查和审计所有插件配置，以识别类似的潜在漏洞。

修复方法翻译中…

Actualice pyLoad a una versión corregida. La vulnerabilidad se solucionó permitiendo que la protección ADMIN_ONLY_OPTIONS se aplique también a las opciones de configuración del plugin, evitando que usuarios sin privilegios administrativos puedan ejecutar comandos del sistema.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-35463 是什么 — pyLoad 中的 Remote Code Execution (RCE)？