CVE-2026-35187

Nome do Software Vulnerável e Versões Afetadas pyLoad versões 0.5.0b3.dev96 e anteriores

Descrição pyLoad, um gerenciador de downloads de código aberto escrito em Python, possui uma falha na função API parse urls localizada em src/pyload/core/api/ init .py. Esta função busca URLs no lado do servidor usando get url(url) (pycurl) sem validar a URL, restringir protocolos ou implementar uma lista de bloqueio de IP. Um usuário autenticado com permissão ADD pode fazer solicitações HTTP/HTTPS para recursos de rede interna e endpoints de metadados de nuvem. Eles também podem ler arquivos locais via protocolo file://, interagir com serviços internos usando os protocolos gopher:// e dict:// e enumerar a existência de arquivos por meio de um oráculo baseado em erros. A função get url() é usada sem restrições, permitindo o acesso a vários protocolos e recursos internos.

Recomendações Restrinja os protocolos permitidos e valide os endereços de destino. Implemente uma função como is safe url() para verificar se o esquema da URL é 'http' ou 'https' e verifique se o nome do host resolve para um endereço IP que não seja privado, de loopback ou reservado antes de fazer a solicitação.