کشف آسیب‌پذیری در نرم‌افزار مدیریت دانلود Pyload

کشف آسیب‌پذیری در نرم‌افزار مدیریت دانلود Pyload

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-32880 و شدت 9.1 (بالا) در Pyload کشف شده است، این محصول یک نرم‌افزار مدیریت دانلود منبع باز می‌باشد که به زبان پایتون نوشته شده است. در این نقص امنیتی، مهاجم احراز هویت شده می‌تواند پوشه دانلود را تغییر داده و یک الگوی دستکاری شده را در فایل مشخص شده آپلود کند که این امر منجر به اجرای کد از راه دور می‌شود. بر اساس بردار حمله این آسیب‌پذیری، CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H : بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، بهره‌برداری از این آسیب‌پذیری نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی بالایی می‌باشد (PR:H) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C)،و در بدترین شرایط هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).

محصولات تحت تأثیر
تمام نسخه‌های قبل از 0.5 تحت تاثیر این آسیب‌پذیری قرار می‌گیرند.

منابع خبر:


[1] https://github.com/pyload/pyload/security/advisories/GHSA-3f7w-p8vr-4v5f
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-32880