CVE-2026-45306
MediumSummary
pyLoad to darmowy i otwartoźródłowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, poprawka dla CVE-2026-33509 nie chroniła katalogu sesji Flask (/tmp/pyLoad/flask), co pozwalało uwierzytelnionemu atakującemu na ustawienie storage_folder na ten katalog i pobranie plików sesji innych użytkowników.
Risk Assessment
Atakujący może przejąć konto innego użytkownika, uzyskując dostęp do plików sesji, co stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników.
Recommendation
Zaleca się aktualizację pyLoad do wersji 0.5.0b3.dev100 lub nowszej, aby zabezpieczyć się przed tą podatnością.
Original NVD description (English source)
pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the fix for CVE-2026-33509 prevents setting storage_folder inside PKGDIR or userdir, but does NOT protect the Flask session directory (/tmp/pyLoad/flask). An authenticated attacker can set storage_folder to the session directory and download session files of other users via /files/get/, leading to account takeover. This vulnerability is fixed in 0.5.0b3.dev100.

