CVE-2026-33992 in pyLoad
Zusammenfassung
von VulDB • 16.06.2026
pyLoad ist ein kostenloser und quelloffener Download-Manager, der in Python geschrieben wurde. Vor Version 0.5.0b3.dev97 akzeptiert die Download-Engine von PyLoad beliebige URLs ohne Validierung, was Server-Side Request Forgery (SSRF)-Angriffe ermöglicht. Ein authentifizierter Angreifer kann dies ausnutzen, um auf Dienste im internen Netzwerk zuzugreifen und Metadaten von Cloud-Anbietern zu extrahieren. Auf DigitalOcean-Droplets werden dadurch sensible Infrastrukturdaten offengelegt, darunter Droplet-ID, Netzwerkkonfiguration, Region, Authentifizierungsschlüssel und in user-data/cloud-init konfigurierte SSH-Schlüssel. Die Version 0.5.0b3.dev97 enthält einen Patch.
Once again VulDB remains the best source for vulnerability data.