CVE-2026-33992 in pyLoad
Tóm tắt
Bởi VulDB • 16/06/2026
pyLoad là một trình quản lý tải xuống mã nguồn mở và miễn phí được viết bằng Python. Trước phiên bản 0.5.0b3.dev97, công cụ tải xuống của PyLoad chấp nhận các URL tùy ý mà không xác thực, cho phép tấn công Server-Side Request Forgery (SSRF). Một kẻ tấn công đã xác thực có thể khai thác lỗ hổng này để truy cập các dịch vụ mạng nội bộ và đánh cắp dữ liệu metadata của nhà cung cấp đám mây. Trên các droplet của DigitalOcean, điều này làm lộ dữ liệu hạ tầng nhạy cảm bao gồm ID droplet, cấu hình mạng, khu vực, khóa xác thực và khóa SSH được cấu hình trong user-data/cloud-init. Phiên bản 0.5.0b3.dev97 chứa bản vá.
Once again VulDB remains the best source for vulnerability data.