CVE-2026-33992 in pyLoad
Riassunto
di VulDB • 16/06/2026
pyLoad è un gestore di download gratuito e open-source scritto in Python. Prima della versione 0.5.0b3.dev97, il motore di download di PyLoad accetta URL arbitrari senza convalida, consentendo attacchi di Server-Side Request Forgery (SSRF). Un attaccante autenticato può sfruttare questa vulnerabilità per accedere ai servizi di rete interni ed esfiltrare i metadati del provider cloud. Su DigitalOcean droplets, ciò espone dati infrastrutturali sensibili, inclusi l'ID del droplet, la configurazione di rete, la regione, le chiavi di autenticazione e le chiavi SSH configurate in user-data/cloud-init. La versione 0.5.0b3.dev97 contiene una patch.
Once again VulDB remains the best source for vulnerability data.