简介
pyLoad是一个用Python编写的免费开源下载管理器,可用于从各种文件托管服务(如RapidShare、Megaupload、DepositFiles等)下载文件。它支持断点续传,验证码自动识别,解压缩文件,以及使用插件进行扩展等功能。此外,pyLoad还具有Web界面,可以通过浏览器进行访问和控制。
漏洞描述
pyLoad存在代码注入漏洞,未经身份验证的攻击者可以通过滥用js2py功能执行任意Python代码
影响版本
pyLoad <= 0.4.20
另外,小于0.5.0b3.dev31版本的pyLoad开发版本也受此漏洞影响。
不受影响版本:
pyLoad > 0.4.20(正式版本尚未发布)
另外,官方已更新pyLoad安全开发版本0.5.0b3.dev31可供下载。
漏洞复现
fofa=”pyLoad”
使用以下paylo