CVE-2024-47821

CRÍTIC (9,1)

CVSS3: 0,0

El pyLoad és un gestor de descàrregues gratuït i de codi obert. La carpeta `/.pyload/scripts` té scripts que s’executen quan es completen determinades accions, per ex. s’ha acabat una descàrrega. En baixar un fitxer executable a una carpeta a /scripts i dur a terme l’acció corresponent, es pot aconseguir l’execució de codi remota en versions 0.5 anteriors a 0.5.0b3.dev87. Es pot descarregar un fitxer a aquesta carpeta canviant la carpeta de descàrrega a una carpeta al camí ‘/scripts’ i fer servir l’API ‘/flashgot’ per descarregar l’arxiu.

Sistemes Afectats

• pyload pyload – >= 0.5.0a0, < 0.5.0b3.dev87

Remediació
No hi ha cap recurs disponible a partir del 25 d’octubre de 2024.

Referències

• https://github.com/pyload/pyload/security/advisories/GHSA-w7hq-f2pj-c53g