یک آسیبپذیری با شناسه CVE-2024-47821 و شدت 9.1 در pyLoad کشف شده است. pyLoad یک دانلود منیجر رایگان و منبع باز است. پوشه "«/.pyload/scripts»"دارای اسکریپت هایی است و زمانی اجرا میشوند که اقدامات خاصی انجام دهند. به عنوان مثال با دانلود یک فایل اجرایی در یک پوشه از اسکریپت ها کاربر با تغییر فایل دانلود به پوشه ای در مسیر "/scripts" و استفاده از "«/flashgot» API" میرسد وآن را اجرا میکند. این امکان برای مهاجم فراهم میشود با بهرهبرداری از سطح دسترسی به تغییرات روی سرور pyload کد دلخواه را اجرا کند و به طور کامل سیستم را در معرض خطر قرار دهد.
محصولات تحت تأثیر
نسخه 0.5 تحت تاثیر این آسیبپذیری قرار گرفته است.
توصیه امنیتی
این آسیبپذیری در نسخه 0.5.0b3.dev87 رفع شده است.
منبع خبر:
- 84