PT-2026-41178 · Pyload+1 · Pyload+1
Adrgs
·
Publicado
2026-05-14
·
Atualizado
2026-05-28
·
CVE-2026-45348
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
pyLoad versões anteriores a 0.5.0b3.dev100
Description
Existe um problema onde o template
packages.js interpola URLs de links armazenadas em um literal de template dentro de HTML com aspas simples e escreve o resultado no DOM usando a função $(div).html(html). Como não ocorre escape entre o valor da API e o innerHTML, um invasor pode enviar um link de pacote contendo uma aspa simples e um manipulador de eventos para romper o atributo e executar JavaScript arbitrário no navegador de qualquer operador que abra a visualização de downloads. Isso é facilitado pela ausência de uma Política de Segurança de Conteúdo (CSP) para restringir scripts inline ou manipuladores de eventos.Detalhes técnicos incluem:
- API Endpoints:
/api/get package data(retorna URLs armazenadas),/api/add package(armazena links fornecidos pelo invasor) e/flash/add(permite que invasores de rede não autenticados alcancem o mesmo ponto quando o ClickNLoad está ativado). - Vulnerable Parameters or Variables:
link.url,link.name,link.statusmsg,link.error,link.format size,link.plugin,link.iconelink.id.
Recommendations
Atualize para a versão 0.5.0b3.dev100.
Como mitigação temporária, restrinja o acesso aos endpoints
/api/add package e /flash/add apenas a usuários confiáveis.
Implemente uma Política de Segurança de Conteúdo (CSP) rigorosa, como default-src 'self'; script-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self', para bloquear manipuladores de eventos inline.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pyload
Pyload-Ng