CVE-2024-47821

Versões do pyLoad anteriores à 0.5.0b3.dev87

A vulnerabilidade permite que um invasor com acesso altere as configurações de um servidor pyLoad para executar código arbitrário e comprometer totalmente o sistema. Isso é feito baixando um arquivo executável para uma pasta em /scripts e realizando a ação correspondente, o que aciona a execução de scripts nessa pasta. O endpoint da API /flashgot pode ser usado para baixar o arquivo, alterando a pasta de download para uma pasta no caminho /scripts.

Para versões anteriores à 0.5.0b3.dev87, atualize para a versão 0.5.0b3.dev87 para corrigir o problema. Como solução temporária, considere restringir o acesso ao endpoint da API /flashgot e à pasta /scripts para minimizar o risco de exploração. Evite usar a API /flashgot para baixar arquivos para pastas no caminho /scripts até que o problema seja resolvido.