Šta se desilo?

Otkrivena je sigurnosna ranjivost u pyLoad-u, besplatnom i otvorenom menadžeru za preuzimanje napravljen na Pythonu. Problem leži u tome što aplikacija keširuje korisničke dozvole i uloge pri prijavi, ali ih ne osveživanja nakon što administrator promeni korisnikove dozvole u bazi podataka. To znači da korisnik koji je već prijavljen može da nastaviti sa pristupom privilegovanim funkcijama čak i nakon što mu je administrator oduzeo ta prava.

Koga pogađa?

Ranjivost pogađa sve koji koriste pyLoad verzije do i uključujući 0.5.0b3.dev97. Rizik je posebno ozbiljan u okruženjima gde se pyLoad koristi u zajedničkim ili organizacionim postavkama, jer napadač koji ima pristup nalogu može zadržati povišene dozvole čak i nakon što mu ih administratori pokušaju da oduzmu.

Kako se zaštititi?

  • Ažurirajte pyLoad na verziju koja sadrži ispravku (commit e95804fb0d06cbb07d2ba380fc494d9ff89b68c1 ili noviju)
  • Redovno pregledate i kontrolišite aktivne sesije korisnika sa povišenim dozvolama
  • Prisilno odjavljivanje korisnika čiji su privilegiji promenjeni
  • Pratite log fajlove za neobične aktivnosti od strane korisnika čiji su pristup trebalo da bude smanjen

Tehnički detalji

CVE-2026-41133 ima ocenu težine od 8.8 (VISOKA). Problem je u mehanizmu keširanja sesije koji čuva dozvole tokom trajanja sesije bez provere bilo kakvih izmena koje je administrator izvršio na niovu baze podataka. Ova ranjivost nije rešena samo aktivacijom opcionalnih sigurnosnih opcija - zahteva se ažuriranje same aplikacije.

Preporuka Sajber Radara

Ako ste korisnik pyLoad-a, preporučujemo hitnu primenu dostupne ispravke kako biste sprečili neovlašćeni pristup privilegovanim funkcijama. Administratori trebaju da zasebno izvrše prisilno odjavljivanje korisnika ako su nedavno promenili njihove dozvole.