製品・ソフトウェアに関する情報
Vulnerability Search
pyLoad-ng projectのpyLoad-ngにおける同一生成元ポリシー違反に関する脆弱性
Title pyLoad-ng projectのpyLoad-ngにおける同一生成元ポリシー違反に関する脆弱性
Summary

pyLoadはPythonで書かれた無料のオープンソースのダウンロードマネージャーです。バージョン0.5.0b3.dev98以前では、src/pyload/webui/app/__init__.py内のset_session_cookie_secure before_requestハンドラーが、リクエストが信頼できるプロキシから発信されたかどうかを検証せずに任意のHTTPリクエストからX-Forwarded-Protoヘッダーを読み取り、その結果、すべてのリクエストでグローバルなFlask設定のSESSION_COOKIE_SECUREを変更していました。pyLoadはマルチスレッドのCheroot WSGIサーバー(request_queue_size=512)を使用しているため、この動作が競合状態を引き起こし、攻撃者のリクエストが他のユーザーのセッションCookieのSecureフラグに影響を与える可能性があります。これにより、TLSプロキシの背後でCookieのセキュリティが低下したり、非TLS環境でのセッションのサービス拒否が発生したりします。この脆弱性はバージョン0.5.0b3.dev98で修正されています。

Possible impacts 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 21, 2026, midnight
Registration Date April 30, 2026, 12:28 p.m.
Last Update April 30, 2026, 12:28 p.m.
CVSS3.0 : 警告
Score 4.8
Vector CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:L
Affected System
pyLoad-ng project
pyLoad-ng 0.5.0b3.dev69 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年04月30日]
  掲載		 April 30, 2026, 12:28 p.m.
NVD Vulnerability Information
CVE-2026-40594
Summary

pyLoad is a free and open-source download manager written in Python. Prior to 0.5.0b3.dev98, the set_session_cookie_secure before_request handler in src/pyload/webui/app/__init__.py reads the X-Forwarded-Proto header from any HTTP request without validating that the request originates from a trusted proxy, then mutates the global Flask configuration SESSION_COOKIE_SECURE on every request. Because pyLoad uses the multi-threaded Cheroot WSGI server (request_queue_size=512), this creates a race condition where an attacker's request can influence the Secure flag on other users' session cookies — either downgrading cookie security behind a TLS proxy or causing a session denial-of-service on plain HTTP deployments. This vulnerability is fixed in 0.5.0b3.dev98.

Publication Date April 22, 2026, 3:16 a.m.
Registration Date April 25, 2026, 4:03 a.m.
Last Update April 28, 2026, 4:43 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:pyload-ng_project:pyload-ng:*:*:*:*:*:python:*:* 0.5.0b3.dev69
Related information, measures and tools
Common Vulnerabilities List