Er is een ernstige beveiligingskwetsbaarheid ontdekt in pyLoad, een populaire open-source downloadmanager geschreven in Python, aangeduid als CVE-2025-54140. Hierbij kan een aanvaller door het manipuleren van de bestandsnaam bij een upload in het /json/upload eindpunt bestanden naar willekeurige locaties op het systeem schrijven die toegankelijk zijn voor het pyLoad-proces. Dit kan leiden tot remote code execution (RCE), lokale privilege-escalatie en mogelijk een volledige compromittering van het systeem.
Overzicht
De kwetsbaarheid betreft een zogenaamde Path Traversal (CWE-22), wat betekent dat een aanvaller buiten de bedoelde bestandsdirectory kan breken. Dit kan worden uitgebuit vanaf versie 0.5.0b3.dev89 van pyLoad.
- Kwetsbare versies:
>= 0.5.0b3.dev89, < 0.5.0b3.dev90 - CVSS-score: 7.5 (High)
Aanbevelingen
Update uw pyLoad-installatie onmiddellijk naar versie 0.5.0b3.dev90 of hoger om deze kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54140?
Dit is een specifieke Path Traversal kwetsbaarheid die het mogelijk maakt om bestanden op willekeurige locaties te schrijven via een speciaal aangepaste bestandsnaam tijdens het uploaden in het json/upload eindpunt van pyLoad.
Welke systemen zijn kwetsbaar voor CVE-2025-54140?
Alle systemen die pyLoad versie 0.5.0b3.dev89 gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is opgelost in versie 0.5.0b3.dev90 van pyLoad. We raden aan zo snel mogelijk te updaten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan bestanden opslaan op elke locatie die toegankelijk is voor het proces van pyLoad, wat kan resulteren in dingen zoals remote code execution, escalatie van privileges en eventueel een volledige beheersing van de getroffen systemen.
Controleer uw systemen vandaag nog op deze kwetsbaarheid en onderneem actie door te updaten naar de laatste versie!
