CVE-2026-42313 in pyLoadИнформация

Сводка

по VulDB • 12.05.2026

pyLoad — это бесплатный менеджер загрузок с открытым исходным кодом, написанный на Python. Версии до 0.5.0b3.dev100 содержат уязвимость в методе API set_config_value() (@permission(Perms.SETTINGS)) в файле src/pyload/core/api/__init__.py, который защищает конфиденциальные параметры с помощью вручную поддерживаемого списка разрешенных значений ADMIN_ONLY_CORE_OPTIONS. В этот список входят ("proxy", "username") и ("proxy", "password"), защищающие учетные данные прокси, но в него не включены ("proxy", "enabled"), ("proxy", "host"), ("proxy", "port") или ("proxy", "type"). Любой аутентифицированный пользователь с неадминистративным разрешением SETTINGS может включить прокси и направить pyLoad на любой хост, контролируемый злоумышленником. Начиная с этого момента, все исходящие загрузки, запросы для обхода капчи, проверки обновлений и HTTP-вызовы плагинов прозрачно маршрутизируются через атакующего. Это прямое продолжение серии исправлений CVE-2026-33509 / CVE-2026-35463 / CVE-2026-35464 / CVE-2026-35586, каждое из которых устраняло упущенный параметр в том же списке разрешенных значений. Уязвимость исправлена в версии 0.5.0b3.dev100.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

26.04.2026

Раскрытие

11.05.2026

Модерация

принято

Вход

VDB-362681

CPE

готов

CWE

CWE-441 (Подтверждённый)

CVSS

8.3 (CNA)

EPSS

0.00016

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42313
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42313
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42313/

◂ Предыдущий Обзор Далее ▸

Want to know what is going to be exploited?

We predict KEV entries!