CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-35459

Critical
Published: Translated: NVD NIST

Summary

pyLoad to darmowy menedżer pobierania napisany w Pythonie, który w wersji 0.5.0b3.dev96 i wcześniejszych ma podatność typu server-side request forgery (SSRF). Mimo wprowadzenia walidacji IP w metodzie BaseDownloader.download(), mechanizm automatycznego śledzenia przekierowań nie weryfikuje celów przekierowań względem filtra SSRF.

Risk Assessment

Organizacja może być narażona na ataki, w których uwierzytelniony użytkownik z uprawnieniami ADD może wykorzystać tę podatność do uzyskania dostępu do wewnętrznych zasobów poprzez przekierowania do adresów wewnętrznych.

Recommendation

Zaleca się aktualizację pyLoad do najnowszej wersji, która zawiera poprawki zabezpieczeń oraz przegląd konfiguracji przekierowań, aby zapewnić odpowiednią walidację celów przekierowań.

Original NVD description (English source)

pyLoad is a free and open-source download manager written in Python. In 0.5.0b3.dev96 and earlier, pyLoad has a server-side request forgery (SSRF) vulnerability. The fix for CVE-2026-33992 added IP validation to BaseDownloader.download() that checks the hostname of the initial download URL. However, pycurl is configured with FOLLOWLOCATION=1 and MAXREDIRS=10, causing it to automatically follow HTTP redirects. Redirect targets are never validated against the SSRF filter. An authenticated user with ADD permission can bypass the SSRF fix by submitting a URL that redirects to an internal address.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS