CVE-2026-33992: Krytyczna luka SSRF w menedżerze pobierania pyLoad

Krytyczna luka SSRF w pyLoad umożliwia atakującym dostęp do wewnętrznych usług i wykradanie danych chmurowych. Zalecana aktualizacja do wersji 0.5.0b3.dev97.
CVE-2026-33992CVSS 9.3Runtime

CVE-2026-33992: Krytyczna luka SSRF w menedżerze pobierania pyLoad

Krytyczna luka SSRF w pyLoad umożliwia atakującym dostęp do wewnętrznych usług i wykradanie danych chmurowych. Zalecana aktualizacja do wersji 0.5.0b3.dev97.

CVSS
9.3 CRITICAL
EPSS
31.71%
Aktywnie wykorzystywana
brak w KEV
Produkt
pyload

Co wiadomo

W menedżerze pobierania pyLoad przed wersją 0.5.0b3.dev97 silnik pobierania akceptuje dowolne adresy URL bez walidacji, co umożliwia ataki Server-Side Request Forgery (SSRF). Atakujący z uprawnieniami może uzyskać dostęp do wewnętrznych usług sieciowych oraz wykradać metadane dostawcy chmury, w tym wrażliwe dane na DigitalOcean.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury IT, zwłaszcza w środowiskach chmurowych takich jak DigitalOcean. Może prowadzić do ujawnienia poufnych informacji, takich jak klucze SSH, konfiguracje sieciowe czy dane uwierzytelniające, co zwiększa ryzyko dalszych ataków i naruszeń danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie pyLoad do wersji 0.5.0b3.dev97 lub nowszej zawierającej poprawkę. W przypadku braku możliwości aktualizacji, ogranicz dostęp do aplikacji, monitoruj logi pod kątem podejrzanych żądań oraz przeglądnij konfiguracje sieciowe w celu minimalizacji ekspozycji. Priorytetowo traktuj ocenę ryzyka i wdrożenie środków zapobiegawczych.

Źródła