CVE-2026-32808: Kritische Schwachstelle in pyLoad Download-Manager erlaubt Dateilöschung

Zusammenfassung

Die Open-Source-Software pyLoad, ein Download-Manager für Python, wies bis Version 0.5.0b3.dev97 eine kritische Sicherheitslücke auf. Angreifer konnten durch eine Pfad-Traversal-Schwachstelle während der Passwortüberprüfung für verschlüsselte 7z-Archive beliebige Dateien außerhalb des Extraktionsverzeichnisses löschen. Der Patch in Version 0.5.0b3.dev97 behebt dieses Problem.

pyLoad is a free and open-source download manager written in Python. Versions before 0.5.0b3.dev97 are vulnerable to path traversal during password verification of certain encrypted 7z archives (encrypted files with non-encrypted headers), causing arbitrary file deletion outside of the extraction directory. During password verification, pyLoad derives an archive entry name from 7z listing output and treats it as a filesystem path without constraining it to the extraction directory. This issue has been fixed in version 0.5.0b3.dev97.