CVE-2026-40071

Name of the Vulnerable Software and Affected Versions pyLoad versões anteriores a 0.5.0b3.dev97

Description Certos endpoints JSON da WebUI impõem permissões mais fracas do que os métodos da API principal que eles invocam, permitindo que usuários autenticados de baixo privilégio executem operações de MODIFY que deveriam ser negadas pelo modelo de permissões. Especificamente, usuários com permissões de ADD podem reordenar pacotes e arquivos através dos endpoints '/json/package order' e '/json/link order', enquanto usuários com permissões de DELETE podem abortar downloads através de '/json/abort link'. Isso ocorre porque esses endpoints chamam as funções da API principal order package(), order file() e stop downloads(), que normalmente exigem permissões de MODIFY, mas os próprios endpoints utilizam verificações de autorização mais fracas.

Recommendations Atualizar para a versão 0.5.0b3.dev97.