یک آسیبپذیری با شناسه CVE-2024-32880 و شدت 9.1 (بالا) در Pyload کشف شده است، این محصول یک نرمافزار مدیریت دانلود منبع باز میباشد که به زبان پایتون نوشته شده است. در این نقص امنیتی، مهاجم احراز هویت شده میتواند پوشه دانلود را تغییر داده و یک الگوی دستکاری شده را در فایل مشخص شده آپلود کند که این امر منجر به اجرای کد از راه دور میشود. بر اساس بردار حمله این آسیبپذیری، CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H : بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، بهرهبرداری از این آسیبپذیری نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی بالایی میباشد (PR:H) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)،و در بدترین شرایط هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
تمام نسخههای قبل از 0.5 تحت تاثیر این آسیبپذیری قرار میگیرند.
منابع خبر:
[1] https://github.com/pyload/pyload/security/advisories/GHSA-3f7w-p8vr-4v5f
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-32880
- 83