CVE-2026-40594 in pyLoad
요약
\~에 의해 VulDB • 2026. 05. 27.
pyLoad은 Python으로 작성된 무료 오픈소스 다운로드 관리자입니다. 0.5.0b3.dev98 이전 버전에서 src/pyload/webui/app/__init__.py의 set_session_cookie_secure before_request 핸들러는 신뢰할 수 있는 프록시에서 요청이 발생했는지 검증하지 않고 모든 HTTP 요청에서 X-Forwarded-Proto 헤더를 읽은 후, 매 요청마다 전역 Flask 구성인 SESSION_COOKIE_SECURE를 변경합니다. pyLoad은 다중 스레드 Cheroot WSGI 서버(request_queue_size=512)를 사용하므로, 이는 공격자의 요청이 다른 사용자의 세션 쿠키에 대한 Secure 플래그에 영향을 미칠 수 있는 Race Condition을 초래합니다. 이로 인해 TLS 프록시 뒤에서 쿠키 보안이 저하되거나 평문 HTTP 배포 환경에서 세션 서비스 거부(Denial-of-Service)가 발생할 수 있습니다. 이 취약점은 0.5.0b3.dev98에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.