CVE-2026-42313 in pyLoadinfo

Zusammenfassung

von VulDB • 12.05.2026

pyLoad ist ein kostenloser und Open-Source-Download-Manager, der in Python geschrieben wurde. Vor Version 0.5.0b3.dev100 sperrt die API-Methode set_config_value() (@permission(Perms.SETTINGS)) in src/pyload/core/api/__init__.py sicherheitsrelevante Optionen hinter einer manuell gepflegten Allowlist namens ADMIN_ONLY_CORE_OPTIONS. Die Allowlist enthält ("proxy", "username") und ("proxy", "password") – welche die Proxy-Anmeldeinformationen schützen –, umfasst jedoch nicht ("proxy", "enabled"), ("proxy", "host"), ("proxy", "port") oder ("proxy", "type"). Jeder authentifizierte Benutzer mit der nicht-administrativen SETTINGS-Berechtigung kann das Proxying aktivieren und pyLoad auf einen beliebigen Host lenken, den er kontrolliert. Ab diesem Zeitpunkt werden jeder ausgehende Download, jede Captcha-Abfrage, jede Update-Prüfung und jeder Plugin-HTTP-Aufruf transparent über den Angreifer geleitet. Dies ist eine direkte Fortsetzung der Korrekturfamilie CVE-2026-33509 / CVE-2026-35463 / CVE-2026-35464 / CVE-2026-35586, bei der jede Schwachstelle eine andere in der gleichen Allowlist übersehene Option behob. Diese Schwachstelle wurde in Version 0.5.0b3.dev100 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

26.04.2026

Veröffentlichung

11.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362681

CPE

bereit

EPSS

0.00016

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42313
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42313
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42313/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!