CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-46561

Medium
Published: Translated: NVD NIST

Summary

pyLoad to darmowy i otwartoźródłowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, sprawdzenie prywatnego adresu IP oparte na PREREQFUNCTION nie było stosowane do HTTPRequest, co umożliwiało atakującemu ominięcie kontroli is_global_host() poprzez dostarczenie URL wskazującego na serwer kontrolowany przez atakującego.

Risk Assessment

Zagrożenie polega na możliwości przekierowania użytkowników do wewnętrznych adresów IP, co może prowadzić do nieautoryzowanego dostępu do zasobów sieciowych organizacji. Atakujący, posiadając odpowiednie uprawnienia, może wykorzystać tę lukę do przeprowadzenia ataków na infrastrukturę wewnętrzną.

Recommendation

Zaleca się aktualizację pyLoad do wersji 0.5.0b3.dev100 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby zidentyfikować potencjalne ryzyka związane z innymi komponentami systemu.

Original NVD description (English source)

pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the PREREQFUNCTION-based private IP check was not applied to HTTPRequest (used by the parse_urls API). An authenticated attacker can supply a URL pointing to an attacker-controlled server that responds with a 302 redirect to an internal/private IP address, bypassing the is_global_host() check on the initial URL. This vulnerability is fixed in 0.5.0b3.dev100.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS