CVE-2026-35459

Nome do Software Vulnerável e Versões Afetadas: pyLoad versões 0.5.0b3.dev96 e anteriores

Descrição: pyLoad contém uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). A correção inicial para CVE-2026-33992 adicionou validação de IP à URL de download inicial, mas os redirecionamentos HTTP não são validados. Um usuário autenticado com permissão ADD pode ignorar a correção SSRF enviando uma URL que redireciona para um endereço interno. A vulnerabilidade permite o acesso a endpoints de metadados de nuvem, serviços de rede interna e serviços localhost. A função BaseDownloader.download() e a classe HTTPRequest estão envolvidas na vulnerabilidade. A opção FOLLOWLOCATION no pycurl está definida como 1 e MAXREDIRS está definida como 10, habilitando o acompanhamento automático de redirecionamentos. A opção REDIR PROTOCOLS não é restrita, permitindo redirecionamentos para qualquer protocolo. A verificação SSRF valida apenas a URL inicial e os destinos de redirecionamento ignoram completamente o filtro.

Recomendações: Desative o acompanhamento automático de redirecionamentos em HTTPRequest. init () definindo self.c.setopt(pycurl.FOLLOWLOCATION, 0). Implemente o acompanhamento manual de redirecionamentos na lógica de download com validação SSRF em cada etapa. Alternativamente, restrinja os protocolos de redirecionamento definindo self.c.setopt(pycurl.REDIR PROTOCOLS, pycurl.PROTO HTTP | pycurl.PROTO HTTPS) e adicione um callback pycurl para validar os IPs de destino do redirecionamento antes de seguir.