CVE-2026-42312 in pyLoadinfo

Zusammenfassung

von VulDB • 12.05.2026

pyLoad ist ein kostenloser und Open-Source-Download-Manager, der in Python geschrieben wurde. Vor Version 0.5.0b3.dev100 sperrt die API-Methode set_config_value() (@permission(Perms.SETTINGS)) in src/pyload/core/api/__init__.py sicherheitsrelevante Optionen hinter einer manuell gepflegten Allowlist ADMIN_ONLY_CORE_OPTIONS. Die Option ("general", "ssl_verify") befindet sich nicht auf dieser Allowlist. Jeder authentifizierte Benutzer mit der nicht-administrativen SETTINGS-Berechtigung kann general.ssl_verify = off setzen, und jede nachfolgende outbound pycurl-Anfrage wird mit SSL_VERIFYPEER=0 und SSL_VERIFYHOST=0 ausgeführt – die TLS-Prüfung des Peers und des Hostnamens ist vollständig deaktiviert. Ein Angreifer in einer Man-in-the-Middle-Position (on-path) kann daraufhin gefälschte Zertifikate für jeden Hostname vorlegen, den pyLoad abruft. Dies ist eine direkte Fortsetzung der Korrekturfamilie CVE-2026-33509 / CVE-2026-35463 / CVE-2026-35464 / CVE-2026-35586, bei der jede Schwachstelle eine andere in der gleichen Allowlist übersehene Option behandelte. Diese Schwachstelle wurde in Version 0.5.0b3.dev100 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

26.04.2026

Veröffentlichung

11.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362678

CPE

bereit

EPSS

0.00020

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42312
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42312
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42312/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!