JVNDB-2026-013552

pyLoad-ng projectのpyLoad-ngにおける同一生成元ポリシー違反に関する脆弱性

pyLoadはPythonで書かれた無料のオープンソースのダウンロードマネージャーです。バージョン0.5.0b3.dev98以前では、src/pyload/webui/app/__init__.py内のset_session_cookie_secure before_requestハンドラーが、リクエストが信頼できるプロキシから発信されたかどうかを検証せずに任意のHTTPリクエストからX-Forwarded-Protoヘッダーを読み取り、その結果、すべてのリクエストでグローバルなFlask設定のSESSION_COOKIE_SECUREを変更していました。pyLoadはマルチスレッドのCheroot WSGIサーバー（request_queue_size=512）を使用しているため、この動作が競合状態を引き起こし、攻撃者のリクエストが他のユーザーのセッションCookieのSecureフラグに影響を与える可能性があります。これにより、TLSプロキシの背後でCookieのセキュリティが低下したり、非TLS環境でのセッションのサービス拒否が発生したりします。この脆弱性はバージョン0.5.0b3.dev98で修正されています。

pyLoad-ng project

• pyLoad-ng 0.5.0b3.dev69 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアの一部が停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Session Cookie Security Downgrade via Untrusted X-Forwarded-Proto Header Spoofing (Global State Race Condition)  Advisory  pyload/pyload  GitHub

1. 同一生成元ポリシー違反(CWE-346) [その他]

1. CVE-2026-40594

1. National Vulnerability Database (NVD) : CVE-2026-40594

• [2026年04月30日]
    掲載