CVE-2026-42315

Nome do Software Vulnerável e Versões Afetadas pyLoad versões anteriores a 0.5.0b3.dev100

Descrição A falta de sanitização na função set package data() permite que um usuário com permissões Perms.MODIFY especifique diretórios arbitrários como locais de download para um pacote. Isso ocorre ao passar o nome de uma pasta dentro do objeto de dados usando a variável folder, permitindo a travessia de caminho absoluto (absolute path traversal) para gravar arquivos em qualquer local onde o processo pyLoad tenha acesso de gravação.

Recomendações Atualize para a versão 0.5.0b3.dev100. Como medida paliativa temporária, restrinja o acesso à função set package data() ou evite usar a variável folder até que a atualização seja aplicada.