کشف آسیب‌پذیری در pyLoad

کشف آسیب‌پذیری در pyLoad

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-47821 و شدت 9.1 در pyLoad کشف شده است. pyLoad یک دانلود منیجر رایگان و منبع باز است. پوشه "«/.pyload/scripts»"دارای اسکریپت هایی است و زمانی اجرا می‌شوند که اقدامات خاصی انجام دهند. به عنوان مثال با دانلود یک فایل اجرایی در یک پوشه از اسکریپت ها کاربر با تغییر فایل دانلود به پوشه ای در مسیر "/scripts" و استفاده از "«/flashgot» API" می‌رسد وآن را اجرا می‌کند. این امکان برای مهاجم فراهم می‌شود با بهره‌برداری از سطح دسترسی به تغییرات  روی سرور pyload کد دلخواه را اجرا کند و به طور کامل سیستم را در معرض خطر قرار دهد.

محصولات تحت تأثیر


نسخه 0.5 تحت تاثیر این آسیب‌پذیری قرار گرفته‌ است.
 

توصیه امنیتی

این آسیب‌پذیری در نسخه 0.5.0b3.dev87 رفع شده است.
 

منبع خبر: 

 


https://nvd.nist.gov/vuln/detail/CVE-2024-47821