一、 漏洞 CVE-2024-24808 基础信息
漏洞标题
由于`is_safe_url`函数的验证不当,pyLoad存在开放重定向漏洞。
来源:AIGC 神龙大模型
漏洞描述信息
pyLoad是一个使用纯Python编写的开源下载管理器。由于在用户登录后重定向用户时对输入值的错误验证,存在一个开放重定向漏洞。当用户登录时,pyLoad通过`get_redirect_url`函数验证URL。这个漏洞已被提交fe94451进行修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
指向未可信站点的URL重定向(开放重定向)
来源:AIGC 神龙大模型
漏洞标题
pyLoad open redirect vulnerability due to improper validation of the is_safe_url function
来源:美国国家漏洞数据库 NVD
漏洞描述信息
pyLoad is an open-source Download Manager written in pure Python. There is an open redirect vulnerability due to incorrect validation of input values when redirecting users after login. pyLoad is validating URLs via the `get_redirect_url` function when redirecting users at login. This vulnerability has been patched with commit fe94451.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
指向未可信站点的URL重定向(开放重定向)
来源:美国国家漏洞数据库 NVD
漏洞标题
pyLoad 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
pyload是一个用 Python 编写的免费开源下载管理器,设计为极其轻量级、易于扩展且可通过 Web 完全管理。 pyLoad存在输入验证错误漏洞,该漏洞源于登录后重定向用户时输入值验证不正确。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-24808 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-24808 的情报信息
- https://github.com/pyload/pyload/security/advisories/GHSA-g3cm-qg2v-2hj5 x_refsource_CONFIRM
-
标题: fix GHSA-g3cm-qg2v-2hj5 security advisory · pyload/pyload@fe94451 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-24808