製品・ソフトウェアに関する情報
Vulnerability Search
pyLoad-ng projectのpyLoad-ngにおける複数の脆弱性
Title pyLoad-ng projectのpyLoad-ngにおける複数の脆弱性
Summary

pyLoadはPythonで書かれた無料かつオープンソースのダウンロードマネージャーです。0.5.0b3.dev100以前のバージョンでは、src/pyload/core/api/__init__.py内のset_config_value() APIメソッド(@permission(Perms.SETTINGS))は、管理者のみが使用可能な手動管理の許可リストADMIN_ONLY_CORE_OPTIONSの背後にセキュリティに敏感なオプションを隠しています。しかし、オプション("general", "ssl_verify")はその許可リストに含まれていません。管理者でないSETTINGS権限を持つ認証済みユーザーはgeneral.ssl_verifyをオフに設定でき、その結果、すべての外向きpycurlリクエストはSSL_VERIFYPEER=0およびSSL_VERIFYHOST=0で実行され、TLSピアおよびホスト名の検証が完全に無効になります。攻撃者はpyloadが取得する任意のホスト名に対して偽造証明書を提示することが可能です。この脆弱性は、同じ許可リストの異なる見落とされたオプションを修正した修正群の直接の継続であり、0.5.0b3.dev100で修正されています。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 11, 2026, midnight
Registration Date May 18, 2026, 11:30 a.m.
Last Update May 18, 2026, 11:30 a.m.
CVSS3.0 : 警告
Score 6.8
Vector CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Affected System
pyLoad-ng project
pyLoad-ng 0.5.0b3.dev100 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年05月18日]
  掲載		 May 18, 2026, 11:30 a.m.
NVD Vulnerability Information
CVE-2026-42312
Summary

pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev100, the set_config_value() API method (@permission(Perms.SETTINGS)) in src/pyload/core/api/__init__.py gates security-sensitive options behind a hand-maintained allowlist ADMIN_ONLY_CORE_OPTIONS. The option ("general", "ssl_verify") is not on that allowlist. Any authenticated user with the non-admin SETTINGS permission can set general.ssl_verify = off, and every subsequent outbound pycurl request is made with SSL_VERIFYPEER=0 and SSL_VERIFYHOST=0 — TLS peer and hostname verification are fully disabled. An on-path attacker can then present forged certificates for any hostname pyload fetches. This is a direct continuation of the fix family CVE-2026-33509 / CVE-2026-35463 / CVE-2026-35464 / CVE-2026-35586, each of which patched a different missed option in the same allowlist. This vulnerability is fixed in 0.5.0b3.dev100.

Publication Date May 12, 2026, 3:16 a.m.
Registration Date May 12, 2026, 4:14 a.m.
Last Update May 15, 2026, 11:09 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:pyload-ng_project:pyload-ng:*:*:*:*:*:python:*:* 0.5.0b3.dev100
Related information, measures and tools
Common Vulnerabilities List