JVNDB-2026-011949

pyLoad-ng projectのpyLoad-ngにおけるサーバサイドのリクエストフォージェリの脆弱性

pyLoadはPythonで書かれた無料のオープンソースのダウンロードマネージャーです。0.5.0b3.dev96以前のバージョンでは、src/pyload/core/api/__init__.py内のparse_urls API関数がget_url(url)（pycurlを使用）を介してサーバー側で任意のURLを取得しますが、URLの検証やプロトコルの制限、IPブラックリストが一切ありません。ADD権限を持つ認証済みユーザーは、内部ネットワークリソースやクラウドメタデータエンドポイントへのHTTP/HTTPSリクエストを行うことができ、file://プロトコルを介してローカルファイルを読み取れます（pycurlがサーバー側でファイルを読み取ります）。また、gopher://およびdict://プロトコルを介して内部サービスとやり取りしたり、エラーベースのオラクル（エラー37と空のレスポンスの違い）を利用してファイルの存在を列挙したりすることも可能です。

pyLoad-ng project

• pyLoad-ng 0.5.0b3.dev97 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : SSRF in parse_urls API endpoint via unvalidated URL parameter  Advisory  pyload/pyload  GitHub

1. サーバサイドのリクエストフォージェリ(CWE-918) [その他]

1. CVE-2026-35187

1. National Vulnerability Database (NVD) : CVE-2026-35187
2. 関連文書 : fix GHSA-2wvg-62qm-gj33 security advisory  pyload/pyload@4032e57  GitHub

• [2026年04月21日]
    掲載