CVE-2026-33992pyLoad是一个用Python编写的免费开源下载管理器。在0.5.0b3.dev97版本之前,其下载引擎在处理URL时缺乏有效的验证机制,接受了任意URL输入。这一缺陷导致了服务端请求伪造(SSRF)漏洞的产生。经过身份验证的攻击者可以利用此漏洞访问内部网络服务,并窃取云提供商的元数据。特别是在DigitalOcean实例上,这可能导致敏感的基础设施数据泄露,包括Droplet ID、网络配置、区域信息、身份验证密钥以及在用户数据/cloud-init中配置的SSH密钥。该问题已在0.5.0b3.dev97版本中得到修复。
该漏洞的根本原因在于pyLoad的下载引擎未对用户提供的URL目标进行充分的白名单或格式验证。由于攻击者已被认证(低权限),他们可以向下载引擎提交指向内部资源的HTTP请求。利用SSRF漏洞,攻击者可以探测内网端口、访问受限的内部服务。更严重的是,在云环境中,攻击者可以请求实例元数据服务(例如DigitalOcean的http://169.254.169.254/metadata/v1/)。元数据服务通常包含实例的敏感配置信息。攻击者构造特定的URL指向元数据接口,服务器端代为请求后返回结果,攻击者即可解析响应内容,获取云主机的认证凭证和配置,从而进一步横向移动或接管云资源。