一、 漏洞 CVE-2024-47821 基础信息
漏洞标题
pyLoad存在远程代码执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
pyLoad是一款免费的开源下载管理器。在其目录`/.pyload/scripts`中包含了一些脚本,当某些操作完成时(例如下载完成)会运行这些脚本。在0.5.0b3.dev87之前的版本中,通过将可执行文件下载到`/scripts`目录下的某个文件夹,并执行相应的操作,可以实现远程代码执行。攻击者可以通过更改下载文件夹为`/scripts`路径下的某个文件夹,并使用`/flashgot` API下载文件来实现这一点。此漏洞允许攻击者通过更改pyLoad服务器的设置来执行任意代码,从而完全破坏系统。0.5.0b3.dev87版本修复了此问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对搜索路径元素未加控制
来源:AIGC 神龙大模型
漏洞标题
pyLoad vulnerable to remote code execution by download to /.pyload/scripts using /flashgot API
来源:美国国家漏洞数据库 NVD
漏洞描述信息
pyLoad is a free and open-source Download Manager. The folder `/.pyload/scripts` has scripts which are run when certain actions are completed, for e.g. a download is finished. By downloading a executable file to a folder in /scripts and performing the respective action, remote code execution can be achieved in versions prior to 0.5.0b3.dev87. A file can be downloaded to such a folder by changing the download folder to a folder in `/scripts` path and using the `/flashgot` API to download the file. This vulnerability allows an attacker with access to change the settings on a pyload server to execute arbitrary code and completely compromise the system. Version 0.5.0b3.dev87 fixes this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
pyLoad 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
pyLoad是pyLoad开源的一个用 Python 编写的免费开源下载管理器。 pyLoad 0.5.0版本存在操作系统命令注入漏洞,该漏洞源于不当的权限处理,允许攻击者通过更改下载文件夹为/scripts路径并使用/flashgot API下载可执行文件,来实现远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47821 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-47821 的情报信息