CVE-2026-46561
ŚrednieStreszczenie
pyLoad to darmowy i otwartoźródłowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, sprawdzenie prywatnego adresu IP oparte na PREREQFUNCTION nie było stosowane do HTTPRequest, co umożliwiało atakującemu ominięcie kontroli is_global_host() poprzez dostarczenie URL wskazującego na serwer kontrolowany przez atakującego.
Ocena ryzyka
Zagrożenie polega na możliwości przekierowania użytkowników do wewnętrznych adresów IP, co może prowadzić do nieautoryzowanego dostępu do zasobów sieciowych organizacji. Atakujący, posiadając odpowiednie uprawnienia, może wykorzystać tę lukę do przeprowadzenia ataków na infrastrukturę wewnętrzną.
Rekomendacja
Zaleca się aktualizację pyLoad do wersji 0.5.0b3.dev100 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby zidentyfikować potencjalne ryzyka związane z innymi komponentami systemu.
Oryginalny opis (angielski, źródło NVD)
pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the PREREQFUNCTION-based private IP check was not applied to HTTPRequest (used by the parse_urls API). An authenticated attacker can supply a URL pointing to an attacker-controlled server that responds with a 302 redirect to an internal/private IP address, bypassing the is_global_host() check on the initial URL. This vulnerability is fixed in 0.5.0b3.dev100.

