Komi22

**Name of the Vulnerable Software and Affected Versions** pyLoad versões anteriores a 0.5.0b3.dev98 **Description** Existe um problema onde `role` e `permission` são armazenados em cache na sessão durante o login. O sistema continua a autorizar solicitações usando esses valores em cache, mesmo depois de um administrador alterar a função ou as permissões do usuário no banco de dados. Isso permite que um usuário logado mantenha privilégios revogados até que a sessão expire ou que ele faça logout, permitindo a continuidade de ações privilegiadas não autorizadas. **Recommendations** Atualize para uma versão que inclua o commit e95804fb0d06cbb07d2ba380fc494d9ff89b68c1.

**Name of the Vulnerable Software and Affected Versions** pyLoad versões anteriores a 0.5.0b3.dev97 **Description** Certos endpoints JSON da WebUI impõem permissões mais fracas do que os métodos da API principal que eles invocam, permitindo que usuários autenticados de baixo privilégio executem operações de MODIFY que deveriam ser negadas pelo modelo de permissões. Especificamente, usuários com permissões de ADD podem reordenar pacotes e arquivos através dos endpoints '/json/package order' e '/json/link order', enquanto usuários com permissões de DELETE podem abortar downloads através de '/json/abort link'. Isso ocorre porque esses endpoints chamam as funções da API principal `order package()`, `order file()` e `stop downloads()`, que normalmente exigem permissões de MODIFY, mas os próprios endpoints utilizam verificações de autorização mais fracas. **Recommendations** Atualizar para a versão 0.5.0b3.dev97.