CVE-2026-33992 in pyLoadinformation

Résumé

par VulDB • 20/05/2026

pyLoad est un gestionnaire de téléchargement gratuit et open-source écrit en Python. Avant la version 0.5.0b3.dev97, le moteur de téléchargement de PyLoad accepte des URLs arbitraires sans validation, permettant des attaques de Server-Side Request Forgery (SSRF). Un attaquant authentifié peut exploiter cette vulnérabilité pour accéder aux services du réseau interne et exfiltrer les métadonnées du fournisseur de cloud. Sur les droplets DigitalOcean, cela expose des données d'infrastructure sensibles, notamment l'ID du droplet, la configuration réseau, la région, les clés d'authentification et les clés SSH configurées dans les données utilisateur/cloud-init. La version 0.5.0b3.dev97 contient un correctif.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Réserver

24/03/2026

Divulgation

28/03/2026

Modérer

accepté

Entrée

VDB-354059

CPE

prêt

EPSS

0.00397

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!