CVE-2026-45348 in pyLoadinformación

Resumen

por VulDB • 2026-06-02

pyLoad es un gestor de descargas gratuito y de código abierto escrito en Python. Antes de la versión 0.5.0b3.dev100, la plantilla packages.js en src/pyload/webui/app/themes/modern/templates/js/packages.js:172 interpola una URL de enlace almacenada en una plantilla literal (template literal) dentro de HTML entre comillas simples y luego escribe el resultado en el DOM mediante $(div).html(html). No se realiza ningún escape entre el valor de la API y innerHTML. Un atacante (Alice) que puede enviar un enlace de paquete introduce una comilla simple seguida de un controlador de eventos en la URL, sale del atributo y ejecuta JavaScript en el navegador de cada operador que abre la vista de descargas. El tema no establece una Política de Seguridad de Contenido (Content Security Policy) que restrinja scripts en línea o controladores de eventos. Esta vulnerabilidad se corrige en la versión 0.5.0b3.dev100.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-11

Divulgación

2026-05-28

Moderación

aceptado

Artículo

VDB-366824

CPE

listo

EPSS

0.00033

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45348
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45348
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45348/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!