CRITICAL🇬🇧 English

CVE-2024-47821

RCE w pyLoad przez zapis pliku wykonywalnego do folderu /scripts

CVSS 9.1v3.1pub. 2024-10-25upd. 2025-03-05

Podatność w pyLoad (menedżerze pobierania) umożliwia zdalne wykonanie kodu (RCE) poprzez pobranie pliku wykonywalnego do folderu ze skryptami automatyzacji. Atakujący z dostępem do ustawień serwera może w pełni przejąć kontrolę nad systemem.

Pokaż oryginał (EN)

pyLoad is a free and open-source Download Manager. The folder `/.pyload/scripts` has scripts which are run when certain actions are completed, for e.g. a download is finished. By downloading a executable file to a folder in /scripts and performing the respective action, remote code execution can be achieved in versions prior to 0.5.0b3.dev87. A file can be downloaded to such a folder by changing the download folder to a folder in `/scripts` path and using the `/flashgot` API to download the file. This vulnerability allows an attacker with access to change the settings on a pyload server to execute arbitrary code and completely compromise the system. Version 0.5.0b3.dev87 fixes this issue.

🤖 Analiza AI
Jak działa

Folder `/.pyload/scripts` zawiera skrypty uruchamiane automatycznie po zakończeniu określonych akcji, np. po zakończeniu pobierania pliku. Atakujący może zmienić folder docelowy pobierania na ścieżkę wewnątrz `/scripts`, a następnie wykorzystać endpoint API `/flashgot` do pobrania złośliwego pliku wykonywalnego do tego folderu. Gdy pyLoad wykona zaplanowaną akcję (np. zakończy pobieranie), złośliwy plik zostaje automatycznie uruchomiony, co skutkuje wykonaniem dowolnego kodu na serwerze.

Skutki

Atakujący może wykonać dowolny kod na serwerze z uprawnieniami procesu pyLoad, co prowadzi do pełnego przejęcia systemu, w tym naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować pyLoad do wersji 0.5.0b3.dev87 lub nowszej, która usuwa tę podatność. Jako środek tymczasowy należy ograniczyć dostęp do panelu zarządzania pyLoad wyłącznie do zaufanych użytkowników i adresów IP.

Kogo dotyczy

pyLoad w wersjach wcześniejszych niż 0.5.0b3.dev87

Uwagi

Podatność wymaga posiadania przez atakującego dostępu do zmiany ustawień serwera pyLoad (uprawnień administracyjnych), co odzwierciedla wektor CVSS z parametrem PR:H (wysokie wymagane uprawnienia). Szczegóły opublikowane w ramach GitHub Security Advisory GHSA-w7hq-f2pj-c53g.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Pyload

    APP
    Pyload
    0.5.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-33992CRITICAL9.3PL ✓ten sam produkt

SSRF w PyLoad umożliwia dostęp do metadanych chmury i sieci wewnętrznej

CVE-2024-32880CRITICAL9.1PL ✓ten sam produkt

pyload: RCE przez upload złośliwego szablonu przez uwierzytelnionego użytkownika

CVE-2023-0435CRITICAL9.8ten sam produkt

Excessive Attack Surface in GitHub repository pyload/pyload prior to 0.5.0b3.dev41.

CVE-2023-0297CRITICAL9.8ten sam produkt

Code Injection in GitHub repository pyload/pyload prior to 0.5.0b3.dev31.

CVE-2026-41133HIGH8.8ten sam produkt

pyLoad is a free and open-source download manager written in Python. Versions up to and including 0.5.0b3.dev9...