製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

pyLoadにおけるセッション期限に関する脆弱性

タイトル	pyLoadにおけるセッション期限に関する脆弱性
概要	pyLoadはPythonで書かれた無料かつオープンソースのダウンロードマネージャーです。バージョン0.5.0b3.dev97まで（含む）は、ログイン時にセッション内に`role`と`permission`をキャッシュしており、管理者がデータベースでユーザーの役割や権限を変更した後でも、これらのキャッシュされた値を用いて要求を認証し続けます。その結果、すでにログインしているユーザーはログアウトまたはセッションの有効期限切れまで古い（取り消された）権限を保持し続け、特権的な操作を継続できる可能性があります。これはコアな認可およびセッション一貫性に関する問題であり、オプションのセキュリティ機能を切り替えても解決しません。コミットe95804fb0d06cbb07d2ba380fc494d9ff89b68c1でこの問題は修正されています。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月22日0:00
登録日	2026年4月30日12:27
最終更新日	2026年4月30日12:27

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

pyLoad

pyLoad 2026-04-13 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41133	https://www.cve.org/CVERecord?id=CVE-2026-41133
National Vulnerability Database (NVD)
2	CVE-2026-41133	https://nvd.nist.gov/vuln/detail/CVE-2026-41133

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-613	https://cwe.mitre.org/data/definitions/613.html

ベンダー情報

No	名前	URL
GitHub
1	Stale Session Privilege After Role/Permission Change (Privilege Revocation Bypass) Advisory pyload/pyload GitHub	https://github.com/pyload/pyload/security/advisories/GHSA-66hx-chf7-3332

その他

No	名前	URL
関連文書
1	invalidate user session on user modify/delete/password change (fixes … pyload/pyload@e95804f GitHub	https://github.com/pyload/pyload/commit/e95804fb0d06cbb07d2ba380fc494d9ff89b68c1

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:27

NVD脆弱性情報

CVE-2026-41133

概要	pyLoad is a free and open-source download manager written in Python. Versions up to and including 0.5.0b3.dev97 cache `role` and `permission` in the session at login and continues to authorize requests using these cached values, even after an admin changes the user's role/permissions in the database. As a result, an already logged-in user can keep old (revoked) privileges until logout/session expiry, enabling continued privileged actions. This is a core authorization/session-consistency issue and is not resolved by toggling an optional security feature. Commit e95804fb0d06cbb07d2ba380fc494d9ff89b68c1 contains a fix for the issue.
公表日	2026年4月22日9:16
登録日	2026年4月25日4:04
最終更新日	2026年4月28日4:28

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:pyload:pyload::::::::					2026-04-13

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/pyload/pyload/commit/e95804fb0d06cbb07d2ba380fc494d9ff89b68c1	security-advisories@github.com
2	https://github.com/pyload/pyload/security/advisories/GHSA-66hx-chf7-3332	security-advisories@github.com
3	https://github.com/pyload/pyload/security/advisories/GHSA-66hx-chf7-3332	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-613	不適切なセッション期限	https://cwe.mitre.org/data/definitions/613.html