Katalog CVE

CVE-2026-45348

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

pyLoad to darmowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, szablon packages.js interpoluje URL linku w szablonie HTML, co pozwala atakującemu na wstrzyknięcie JavaScript do przeglądarki użytkowników, którzy otwierają widok pobierania.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu JavaScript w przeglądarkach operatorów, co może prowadzić do kradzieży danych lub przejęcia sesji.

Rekomendacja

Zaleca się aktualizację do wersji 0.5.0b3.dev100 lub nowszej oraz wdrożenie polityki Content Security Policy, aby ograniczyć możliwość wykonywania skryptów inline.

Oryginalny opis (angielski, źródło NVD)

pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the packages.js template at src/pyload/webui/app/themes/modern/templates/js/packages.js:172 interpolates a stored link URL into a template literal inside single-quoted HTML and then writes the result to the DOM via $(div).html(html). No escaping runs between the API value and innerHTML. An attacker (Alice) who can submit a package link puts a single quote plus event handler into the URL, breaks out of the attribute, and executes JavaScript in every operator's browser that opens the downloads view. The theme does not set a Content Security Policy that restricts inline script or event handlers. This vulnerability is fixed in 0.5.0b3.dev100.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS