CVE-2026-46561

Nome do Software Vulnerável e Versões Afetadas pyLoad versões anteriores a 0.5.0b3.dev100

Description Um invasor autenticado pode realizar Server-Side Request Forgery (SSRF) ao fornecer uma URL para o endpoint de API 'parse urls' que aponte para um servidor sob seu controle. Este servidor pode responder com um redirecionamento 302 para um endereço IP interno ou privado, ignorando a verificação is global host() realizada na URL inicial. Isso ocorre porque a classe HTTPRequest, utilizada pela função get url(), possui a variável allow private ip definida como True por padrão, o que faz com que a função pre request callback() ignore a validação de IP privado durante os redirecionamentos.

Este problema pode ser explorado para acessar serviços internos em redes privadas, serviços de localhost ou endpoints de metadados de nuvem (como AWS IMDSv1), potencialmente expondo credenciais IAM, metadados de instância e segredos.

Recommendations Atualize para a versão 0.5.0b3.dev100 ou posterior.