CVE-2026-33992 in pyLoad
摘要
由 VulDB • 2026-06-16
pyLoad 是一个用 Python 编写的免费开源下载管理器。在 0.5.0b3.dev97 版本之前,PyLoad 的下载引擎在未进行验证的情况下接受任意 URL,从而导致服务器端请求伪造(SSRF)攻击。经过身份验证的攻击者可以利用此漏洞访问内部网络服务并窃取云提供商的元数据。在 DigitalOcean droplet 上,这会暴露敏感的基础设施数据,包括 droplet ID、网络配置、区域、认证密钥以及用户数据/cloud-init 中配置的 SSH 密钥。版本 0.5.0b3.dev97 包含修复补丁。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.