کشف آسیب‌پذیری در ابزار مدیریت دانلود pyLoad

pyLoad یک ابزار متن‌باز مدیریت دانلود است که با داشتن رابط وب و امکان نصب روی سیستم‌های لینوکسی سبک، توسط کاربران حرفه‌ای و مدیران سرور برای خودکارسازی دانلود فایل‌ها از منابعی مانند سرویس‌های اشتراک‌گذاری، پشتیبانی از لینک‌های مستقیم و پردازش خودکار CAPTCHA استفاده می‌گردد. اخیراً یک آسیب‌پذیری بحرانی با شناسه‌ی CVE-2025-53890 و شدت 9.8 در بخش مربوط به پردازش CAPTCHA در این ابزار شناسایی شده است. به‌دلیل ارتباط مستقیم pyLoad با اینترنت و تعامل با فایل‌ها، این نقص می‌تواند تهدید بزرگی برای کاربران و سرورهای مرتبط باشد.

جزئیات آسیب‌پذیری

آسیب‌پذیری CVE-2025-53890 به دلیل ارزیابی ناامن جاوااسکریپت در فرآیند پردازش CAPTCHA در pyLoad به وجود آمده است. این نقص امنیتی به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد کد مخرب دلخواه خود را در مرورگر قربانی و در برخی موارد امکان اجرای کد مخرب در سمت سرور را نیز فراهم نماید. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به سرقت نشست فعال کاربر، سرقت اطلاعات حساس و کنترل کامل سیستم گردد.

بردار CVSS:
3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

نشان می‌دهد که آسیب‌پذیری مذکور به مهاجمان اجازه می‌دهد با پیچیدگی پایین و بدون داشتن دسترسی قبلی یا نیاز به تعامل با کاربر، حمله‌ای از طریق شبکه انجام دهند که تأثیرات آن شامل افشای کامل اطلاعات، تغییرات در داده‌ها و کاهش دسترس‌پذیری سیستم است.

نسخه‌های تحت تأثیر

• نسخه‌های قبل از 0.5.0b3.dev89 تحت تأثیر این آسیب‌پذیری قرار دارند. وصله این نقص در نسخه‌ای که با شناسه‌ی 909e5c97885237530d1264cfceb5555870eb9546 ثبت شده، ارائه و در نسخه‌ی 0.5.0b3.dev89 و بعد از آن اعمال شده است.

توصیه‌های امنیتی

• به‌روزرسانی به نسخه‌ی امن pyLoad (حداقل نسخه 0.5.0b3.dev89).
• محدودسازی دسترسی به رابط کاربری pyLoad به شبکه‌ای امن.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-53890

[2]https://github.com/pyload/pyload/commit/909e5c97885237530d1264cfceb5555870eb9546

[3]https://www.cve.org/CVERecord?id=CVE-2025-53890

[4]https://www.cvedetails.com/cve/CVE-2025-53890