Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad es una remediación incompleta de CVE-2026-33992. Aunque el sistema valida que el nombre de host de la URL inicial sea público, la biblioteca pycurl está configurada con FOLLOWLOCATION=1, permitiendo hasta 10 redirecciones automáticas. Un atacante puede enviar una URL pública que redirija a una dirección IP interna o al endpoint de metadatos de la nube (169.254.169.254), eludiendo completamente el filtro de seguridad inicial.
Recursos afectados
- Software: Paquete pyload-ng en versiones iguales o inferiores a la 0.5.0b3.dev96.
- Infraestructura: Endpoints de metadatos de proveedores de nube (AWS, GCP, Azure, DigitalOcean), servicios en la red local (RFC1918) e interfaces locales.
Solución/Mitigación
Solución Oficial: Instalar la versión 0.5.0b3.dev97 o superior que contiene el parche oficial.
MItigación Temporal: Desactivar el seguimiento automático de redirecciones en pycurl (FOLLOWLOCATION=0) e implementar una lógica de validación manual para cada salto de redirección.
Indicadores de compromiso
- Peticiones salientes anómalas desde el servidor de pyLoad hacia la IP 169.254.169.254 o rangos de red privados (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16).
- Uso inusual del permiso "ADD" para añadir enlaces que apunten a servidores de redirección externos.
- Presencia de archivos como v1.json o metadata.json en las carpetas de descarga de pyLoad.
Recomendaciones
- Limitar los privilegios de adición de paquetes ("ADD") únicamente a administradores de confianza.
- Implementar reglas de firewall de salida para bloquear el acceso de pyLoad a la red interna y a servicios de metadatos.
- Habilitar IMDSv2 en instancias de AWS para mitigar ataques SSRF basados en redirecciones simples.