CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45348

High
Published: Translated: NVD NIST

Summary

pyLoad to darmowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, szablon packages.js interpoluje URL linku w szablonie HTML, co pozwala atakującemu na wstrzyknięcie JavaScript do przeglądarki użytkowników, którzy otwierają widok pobierania.

Risk Assessment

Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu JavaScript w przeglądarkach operatorów, co może prowadzić do kradzieży danych lub przejęcia sesji.

Recommendation

Zaleca się aktualizację do wersji 0.5.0b3.dev100 lub nowszej oraz wdrożenie polityki Content Security Policy, aby ograniczyć możliwość wykonywania skryptów inline.

Original NVD description (English source)

pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the packages.js template at src/pyload/webui/app/themes/modern/templates/js/packages.js:172 interpolates a stored link URL into a template literal inside single-quoted HTML and then writes the result to the DOM via $(div).html(html). No escaping runs between the API value and innerHTML. An attacker (Alice) who can submit a package link puts a single quote plus event handler into the URL, breaks out of the attribute, and executes JavaScript in every operator's browser that opens the downloads view. The theme does not set a Content Security Policy that restricts inline script or event handlers. This vulnerability is fixed in 0.5.0b3.dev100.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS