CVE-2026-42312 in pyLoad
요약
\~에 의해 VulDB • 2026. 05. 12.
pyLoad은 Python으로 작성된 무료 및 오픈소스 다운로드 관리자입니다. 0.5.0b3.dev100 이전 버전에서 src/pyload/core/api/__init__.py의 set_config_value() API 메서드(@permission(Perms.SETTINGS))는 보안에 민감한 옵션을 수동으로 유지되는 ADMIN_ONLY_CORE_OPTIONS 허용 목록 뒤에 숨기고 있습니다. ("general", "ssl_verify") 옵션은 해당 허용 목록에 포함되어 있지 않습니다. 비관리자 SETTINGS 권한을 가진 인증된 사용자는 general.ssl_verify = off를 설정할 수 있으며, 이후 모든 외부 pycurl 요청은 SSL_VERIFYPEER=0 및 SSL_VERIFYHOST=0으로 전송됩니다. 이는 TLS 피어 및 호스트 이름 검사가 완전히 비활성화됨을 의미합니다. 경로 상의 공격자는 pyload이 가져오는 모든 호스트에 대해 위조된 인증서를 제시할 수 있습니다. 이는 CVE-2026-33509 / CVE-2026-35463 / CVE-2026-35464 / CVE-2026-35586 수정 패치 계열의 직접적인 연속 사례로, 각각 동일한 허용 목록에서 누락된 서로 다른 옵션을 패치했습니다. 이 취약점은 0.5.0b3.dev100에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.