概要
pyLoad は Python 製 の ダウンロード マネージャー です。edit_package() 関数 に パストラバーサル(CWE-23: Relative Path Traversal)の 脆弱性 が 存在 します。
この 脆弱性 に より、攻撃者 は パッケージ 編集 機能 を 通じて ディレクトリ トラバーサル を 行い、サーバー上 の 任意 の ファイル に アクセス する こと が 可能 です。設定ファイル や 認証情報 などの 機密 データ が 漏洩 する 恐れ が あります。
pyLoad を 使用 して いる 環境 で は、速やか に 修正 バージョン へ の アップデート が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.1 |
| 深刻度 | High |
| CWE | CWE-23 (相対パストラバーサル) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| pyLoad | pyload-ng | 影響バージョンはアドバイザリを参照 |
修正バージョンと回避策
- 修正バージョン: pyLoad の 最新 バージョン へ アップデート
- 暫定回避策: pyLoad の Web インターフェース へ の アクセス を 信頼 できる ネットワーク に 制限 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。