CVE-2026-42312 in pyLoadजानकारी

सारांश

द्वारा VulDB • 16/05/2026

pyLoad एक मुफ्त और ओपन-सोर्स डाउनलोड मैनेजर है जो Python में लिखा गया है। 0.5.0b3.dev100 से पहले, src/pyload/core/api/__init__.py में set_config_value() API विधि (@permission(Perms.SETTINGS)) सुरक्षा-संवेदनशील विकल्पों को एक हैंड-मेंटेनड अलाउलिस्ट ADMIN_ONLY_CORE_OPTIONS के पीछे गेट करती है। विकल्प ("general", "ssl_verify") उस अलाउलिस्ट में नहीं है। सेटिंग्स अनुमति (SETTINGS permission) वाले प्रत्येक प्रमाणीकृत उपयोगकर्ता (non-admin) general.ssl_verify = off सेट कर सकता है, और प्रत्येक बाद का outbound pycurl अनुरोध SSL_VERIFYPEER=0 और SSL_VERIFYHOST=0 के साथ किया जाता है — TLS पीयर और होस्टनेम सत्यापन पूरी तरह से अक्षम हो जाता है। एक ऑन-पाथ आक्रामक (on-path attacker) फिर pyload द्वारा प्राप्त किसी भी होस्टनेम के लिए झूठे प्रमाणपत्र प्रस्तुत कर सकता है। यह सीधे CVE-2026-33509 / CVE-2026-35463 / CVE-2026-35464 / CVE-2026-35586 के फिक्स परिवार का निरंतर है, जिनमें से प्रत्येक ने उसी अलाउलिस्ट में एक अलग मिस की गई विकल्प को पैच किया था। इस कमजोरी को 0.5.0b3.dev100 में ठीक किया गया है।

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

जिम्मेदार

GitHub M

आरक्षित करना

26/04/2026

प्रकटीकरण

11/05/2026

प्रविष्टि

VDB-362678

EPSS

0.00020

KEV

नहीं

गतिविधियाँ

बहुत कम

स्रोत

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42312
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42312
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42312/

पिछलासिंहावलोकनअगला

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!