目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CVE-2026-42313— pyLoad 安全漏洞

CVSS 8.3 · High EPSS 0.04% · P11
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-42313 基础信息

漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
pyload-ng: non-admin SETTINGS users can redirect all outbound traffic through an attacker-controlled proxy
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the set_config_value() API method (@permission(Perms.SETTINGS)) in src/pyload/core/api/__init__.py gates security-sensitive options behind a hand-maintained allowlist ADMIN_ONLY_CORE_OPTIONS. The allowlist contains ("proxy", "username") and ("proxy", "password") — which protect the proxy credentials — but it does not include ("proxy", "enabled"), ("proxy", "host"), ("proxy", "port"), or ("proxy", "type"). Any authenticated user with the non-admin SETTINGS permission can enable proxying and point pyload at any host they control. From that point, every outbound download, captcha fetch, update check, and plugin HTTP call is transparently routed through the attacker. This is a direct continuation of the fix family CVE-2026-33509 / CVE-2026-35463 / CVE-2026-35464 / CVE-2026-35586, each of which patched a different missed option in the same allowlist. This vulnerability is fixed in 0.5.0b3.dev100.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
未有动机的代理或中间人(混淆代理)
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
pyLoad 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
pyLoad是pyLoad开源的一个用 Python 编写的免费开源下载管理器。 pyLoad 0.5.0b3.dev100之前版本存在安全漏洞,该漏洞源于set_config_value() API方法中允许列表未包含proxy相关选项,可能导致任何具有非管理员SETTINGS权限的认证用户启用代理并将pyload指向其控制的任何主机,进而使所有出站下载、验证码获取、更新检查和插件HTTP调用被透明路由到攻击者。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
pyloadpyload < 0.5.0b3.dev100 -

二、漏洞 CVE-2026-42313 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-42313 的情报信息

登录查看更多情报信息。

同批安全公告 · pyload · 2026-05-11 · 共 5 条

CVE-2026-423158.1 HIGHpyLoad 路径遍历漏洞
CVE-2026-423126.8 MEDIUMpyLoad 信任管理问题漏洞
CVE-2026-423146.5 MEDIUMpyLoad 路径遍历漏洞
CVE-2026-442265.3 MEDIUMpyLoad 安全漏洞

IV. Related Vulnerabilities

Same product: pyload
Same vendor: pyload
Same weakness: CWE-441

V. Comments for CVE-2026-42313

暂无评论

发表评论