CVE-2026-35592 in pyLoadinformação

Sumário

de VulDB • 30/05/2026

O pyLoad é um gerenciador de downloads gratuito e de código aberto escrito em Python. Antes da versão 0.5.0b3.dev97, a função _safe_extractall() em src/pyload/plugins/extractors/UnTar.py utiliza os.path.commonprefix() para sua verificação de traversal de caminho, o que realiza uma comparação de strings em nível de caracteres em vez de uma comparação em nível de caminho. Isso permite que um arquivo tar especialmente elaborado grave arquivos fora do diretório de extração pretendido. A função correta os.path.commonpath() foi adicionada à base de código na correção do CVE-2026-32808 (commit 5f4f0fa), mas nunca foi aplicada à _safe_extractall(), tornando esta uma correção incompleta. Esta vulnerabilidade foi corrigida na versão 0.5.0b3.dev97.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

03/04/2026

Divulgação

07/04/2026

Moderação

aceite

Entrada

VDB-355825

CPE

pronto

EPSS

0.00058

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35592
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35592
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35592/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!