CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45306

Medium
Published: Translated: NVD NIST

Summary

pyLoad to darmowy i otwartoźródłowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, poprawka dla CVE-2026-33509 nie chroniła katalogu sesji Flask (/tmp/pyLoad/flask), co pozwalało uwierzytelnionemu atakującemu na ustawienie storage_folder na ten katalog i pobranie plików sesji innych użytkowników.

Risk Assessment

Atakujący może przejąć konto innego użytkownika, uzyskując dostęp do plików sesji, co stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników.

Recommendation

Zaleca się aktualizację pyLoad do wersji 0.5.0b3.dev100 lub nowszej, aby zabezpieczyć się przed tą podatnością.

Original NVD description (English source)

pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the fix for CVE-2026-33509 prevents setting storage_folder inside PKGDIR or userdir, but does NOT protect the Flask session directory (/tmp/pyLoad/flask). An authenticated attacker can set storage_folder to the session directory and download session files of other users via /files/get/, leading to account takeover. This vulnerability is fixed in 0.5.0b3.dev100.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS