CVE-2026-33992: Krytyczna luka SSRF w menedżerze pobierania pyLoad
Krytyczna luka SSRF w pyLoad umożliwia atakującym dostęp do wewnętrznych usług i wykradanie danych chmurowych. Zalecana aktualizacja do wersji 0.5.0b3.dev97.
- CVSS
- 9.3 CRITICAL
- EPSS
- 31.71%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- pyload
Co wiadomo
W menedżerze pobierania pyLoad przed wersją 0.5.0b3.dev97 silnik pobierania akceptuje dowolne adresy URL bez walidacji, co umożliwia ataki Server-Side Request Forgery (SSRF). Atakujący z uprawnieniami może uzyskać dostęp do wewnętrznych usług sieciowych oraz wykradać metadane dostawcy chmury, w tym wrażliwe dane na DigitalOcean.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury IT, zwłaszcza w środowiskach chmurowych takich jak DigitalOcean. Może prowadzić do ujawnienia poufnych informacji, takich jak klucze SSH, konfiguracje sieciowe czy dane uwierzytelniające, co zwiększa ryzyko dalszych ataków i naruszeń danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie pyLoad do wersji 0.5.0b3.dev97 lub nowszej zawierającej poprawkę. W przypadku braku możliwości aktualizacji, ogranicz dostęp do aplikacji, monitoruj logi pod kątem podejrzanych żądań oraz przeglądnij konfiguracje sieciowe w celu minimalizacji ekspozycji. Priorytetowo traktuj ocenę ryzyka i wdrożenie środków zapobiegawczych.