CVE-2026-33992: Уразливість SSRF у pyLoad

Уразливість SSRF у pyLoad дозволяє викрадення внутрішніх даних хмарної інфраструктури. Оновіть до версії 0.5.0b3.dev97 для захисту.
CVE-2026-33992CVSS 9.3Runtime

CVE-2026-33992: Уразливість SSRF у pyLoad

Уразливість SSRF у pyLoad дозволяє викрадення внутрішніх даних хмарної інфраструктури. Оновіть до версії 0.5.0b3.dev97 для захисту.

CVSS
9.3 CRITICAL
EPSS
31.71%
Активно використовується
немає в KEV
Продукт
pyload

Що відомо

У pyLoad, менеджері завантажень на Python, до версії 0.5.0b3.dev97 існувала уразливість SSRF через відсутність перевірки URL. Аутентифікований зловмисник міг отримати доступ до внутрішніх мережевих сервісів і конфіденційних метаданих хмарного провайдера.

Бізнес-вплив

Ця уразливість дозволяє зловмисникам викрадати критичні дані інфраструктури, такі як ідентифікатори віртуальних машин, мережеві налаштування та ключі доступу, що може призвести до компрометації систем і подальших атак. Особливо це актуально для середовищ на DigitalOcean, де доступні чутливі метадані користувача.

Рекомендовані дії адміністратора

Адміністраторам рекомендується оновити pyLoad до версії 0.5.0b3.dev97 або новішої, перевірити журнали на ознаки експлуатації, обмежити доступ до сервісу та мінімізувати експозицію внутрішніх мереж. Важливо також переглянути політики безпеки та налаштування аутентифікації.

Джерела