Se ha reportado una vulnerabilidad crítica en el gestor de descargas diseñado en Python, pyLoad en todas las plataformas.
Productos Afectados:
Pyload (pip) <=5.0
Impacto de la Vulnerabilidad:
CVE-2024-32880: Se le ha asignado una puntuación en CVSSv3 de 9.1, con una severidad crítica. La vulnerabilidad de seguridad descubierta en pyLoad podría permitir que un usuario autenticado pueda cambiar la carpeta de descarga y subir una plantilla manipulada a la carpeta especificada, lo que permitiría que un actor malicioso inyecte de código arbitrario remoto (RCE), con los privilegios del proceso de pyLoad, lo que podría permitir al actor malicioso tomar el control del sistema.
Recomendación:
De momento aún no se ha liberado un parche oficial por parte del desarrollador del gestor de descargas. Se recomienda verificar el contenido de los archivos subidos en busca de código, archivos desconocidos o extraños, estar pendiente del parche de actualización por parte del fabricante de software
Referencias: