Katalog CVE

CVE-2026-45306

Średnie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

pyLoad to darmowy i otwartoźródłowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, poprawka dla CVE-2026-33509 nie chroniła katalogu sesji Flask (/tmp/pyLoad/flask), co pozwalało uwierzytelnionemu atakującemu na ustawienie storage_folder na ten katalog i pobranie plików sesji innych użytkowników.

Ocena ryzyka

Atakujący może przejąć konto innego użytkownika, uzyskując dostęp do plików sesji, co stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników.

Rekomendacja

Zaleca się aktualizację pyLoad do wersji 0.5.0b3.dev100 lub nowszej, aby zabezpieczyć się przed tą podatnością.

Oryginalny opis (angielski, źródło NVD)

pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the fix for CVE-2026-33509 prevents setting storage_folder inside PKGDIR or userdir, but does NOT protect the Flask session directory (/tmp/pyLoad/flask). An authenticated attacker can set storage_folder to the session directory and download session files of other users via /files/get/, leading to account takeover. This vulnerability is fixed in 0.5.0b3.dev100.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS