CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33511

Critical
Published: Translated: NVD NIST

Summary

W pyLoad, menedżerze pobierania, występuje luka w funkcji ClickNLoad, która pozwala na obejście dekoratora local_check. Atakujący zdalny może wykorzystać fałszowanie nagłówka HTTP Host, co umożliwia dostęp do punktów końcowych ograniczonych do localhost.

Risk Assessment

Luka ta pozwala nieautoryzowanym użytkownikom zdalnym na wstrzykiwanie dowolnych pobrań, zapisywanie plików w katalogu przechowywania oraz wykonywanie kodu JavaScript, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację pyLoad do wersji 0.5.0b3.dev97 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Original NVD description (English source)

pyLoad is a free and open-source download manager written in Python. From version 0.4.20 to before version 0.5.0b3.dev97, the local_check decorator in pyLoad's ClickNLoad feature can be bypassed by any remote attacker through HTTP Host header spoofing. This allows unauthenticated remote users to access localhost-restricted endpoints, enabling them to inject arbitrary downloads, write files to the storage directory, and execute JavaScript code. This issue has been patched in version 0.5.0b3.dev97.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS