PyLoad /login 默认口令漏洞

影响产品：PyLoad CVSS：8.1 漏洞类型：默认口令 漏洞描述： PyLoad是一款开源的轻量级下载管理器，由PyLoad社区开发和维护，支持HTTP、FTP、在线存储和流媒体等多种下载协议，提供链接解析、Captcha自动识别、插件扩展、下载队列管理、带宽限制和远程管理界面等核心功能，广泛应用于个人文件下载管理和NAS存储设备的下载任务调度场景。PyLoad默认管理员凭据为pyload:pyload，攻击者可利用该默认凭据登录Web管理界面，控制下载任务、查看下载历史记录、修改服务器配置，造成信息泄露和安全风险。 影响： 攻击者可利用默认凭据登录PyLoad管理界面，查看和管理所有下载任务及历史记录，获取下载链接中的敏感信息，修改下载存储路径访问服务器文件系统，添加恶意下载任务，篡改账户配置和插件设置，造成信息泄露和系统安全风险。 修复建议： 1、修改默认口令，密码最好包含大小写字母、数字和特殊字符等，且位数大于8位。2、如非必要，禁止公网访问该系统。3、通过防火墙等安全设备设置访问策略，设置白名单访问。 FOFA： body="Login - pyLoad"