CVE-2026-35459
KrytyczneStreszczenie
pyLoad to darmowy menedżer pobierania napisany w Pythonie, który w wersji 0.5.0b3.dev96 i wcześniejszych ma podatność typu server-side request forgery (SSRF). Mimo wprowadzenia walidacji IP w metodzie BaseDownloader.download(), mechanizm automatycznego śledzenia przekierowań nie weryfikuje celów przekierowań względem filtra SSRF.
Ocena ryzyka
Organizacja może być narażona na ataki, w których uwierzytelniony użytkownik z uprawnieniami ADD może wykorzystać tę podatność do uzyskania dostępu do wewnętrznych zasobów poprzez przekierowania do adresów wewnętrznych.
Rekomendacja
Zaleca się aktualizację pyLoad do najnowszej wersji, która zawiera poprawki zabezpieczeń oraz przegląd konfiguracji przekierowań, aby zapewnić odpowiednią walidację celów przekierowań.
Oryginalny opis (angielski, źródło NVD)
pyLoad is a free and open-source download manager written in Python. In 0.5.0b3.dev96 and earlier, pyLoad has a server-side request forgery (SSRF) vulnerability. The fix for CVE-2026-33992 added IP validation to BaseDownloader.download() that checks the hostname of the initial download URL. However, pycurl is configured with FOLLOWLOCATION=1 and MAXREDIRS=10, causing it to automatically follow HTTP redirects. Redirect targets are never validated against the SSRF filter. An authenticated user with ADD permission can bypass the SSRF fix by submitting a URL that redirects to an internal address.

