Plattform
sqlite
Komponente
mytube
Behoben in
1.8.70
CVE-2026-33735 describes an authorization bypass vulnerability discovered in MyTube, a self-hosted downloader and player. This flaw allows attackers with low-privilege credentials to completely overwrite the application’s SQLite database via the /api/settings/import-database endpoint, resulting in a full compromise of the application. The vulnerability affects versions of MyTube prior to 1.8.69, and a fix is available in version 1.8.69.
CVE-2026-33735 betrifft MyTube, eine selbst gehostete Download- und Player-Software für verschiedene Videoplattformen. Die Schwachstelle liegt im Endpunkt /api/settings/import-database, wo eine Autorisierungsumgehung entdeckt wurde. Dies ermöglicht es Angreifern mit geringen Berechtigungen, die SQLite-Datenbank der Anwendung hochzuladen und vollständig zu ersetzen. Der Schaden ist erheblich, da ein Angreifer die Anwendung vollständig kompromittieren, auf sensible Daten zugreifen, Konfigurationen ändern und potenziell bösartigen Code ausführen kann. Die Schwachstelle beschränkt sich nicht auf diesen Endpunkt; sie könnte in anderen POST-Routen ausgenutzt werden, die keine ordnungsgemäße Autorisierungsvalidierung implementieren. Die Schwere dieser Fehlfunktion liegt in der Einfachheit, mit der ein Angreifer die vollständige Kontrolle über das MyTube-System erlangen kann.
Die Ausnutzung von CVE-2026-33735 erfordert Zugriff auf die MyTube-Anwendung und Benutzeranmeldedaten mit minimalen Berechtigungen. Ein Angreifer kann eine POST-Anfrage an den Endpunkt /api/settings/import-database mit einer bösartigen SQLite-Datenbank senden. Aufgrund der Autorisierungsumgehung akzeptiert die Anwendung die bereitgestellte Datenbank und überschreibt die vorhandene. Dieser Angriff ist relativ einfach auszuführen und kann automatisiert werden. Das Fehlen der Eingabevalidierung in ähnlichen POST-Routen erhöht das Risiko einer Ausnutzung. Die selbst gehostete Natur von MyTube bedeutet, dass die Sicherheit stark von der Konfiguration und Wartung des Benutzers abhängt, was die Wahrscheinlichkeit erhöhen kann, dass diese Schwachstelle unkorrigiert bleibt.
Self-hosted MyTube users are at significant risk, particularly those who have not implemented strong access controls or are running older, vulnerable versions. Shared hosting environments where multiple users share a single MyTube instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of the entire application.
• sqlite / server:
sqlite3 /path/to/MyTube/database.db "SELECT sql FROM sqlite_master WHERE type='table' AND name='users';"• generic web:
curl -I http://your-mytube-instance/api/settings/import-database(Check for 200 OK response with low-privilege user) • linux / server:
journalctl -u mytube | grep -i "import-database"(Look for unusual activity related to database imports)
disclosure
Exploit-Status
EPSS
0.04% (13% Perzentil)
CISA SSVC
Die Lösung für CVE-2026-33735 ist die Aktualisierung von MyTube auf Version 1.8.69 oder höher. Diese Version enthält eine Korrektur, die die Autorisierungsumgehung im Endpunkt /api/settings/import-database und in anderen anfälligen POST-Routen mildert. Die sofortige Anwendung dieses Updates wird empfohlen, um Ihre MyTube-Instanz zu schützen. Überprüfen Sie außerdem die Sicherheitseinstellungen Ihrer Anwendung und stellen Sie sicher, dass Benutzeranmeldedaten sicher verwaltet werden und geeignete Zugriffskontrollen implementiert werden, um den Zugriff auf kritische Funktionen einzuschränken. Die Überwachung der Anwendungs-Logs auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice MyTube a la versión 1.8.69 o posterior. Esta versión corrige la vulnerabilidad de control de acceso que permite la manipulación de la base de datos. La actualización evitará que atacantes con privilegios bajos comprometan la aplicación.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist ein Identifikator für eine Sicherheitslücke in MyTube, die es Angreifern ermöglicht, die Datenbank der Anwendung zu ersetzen.
Aktualisieren Sie sofort auf Version 1.8.69 oder höher.
Ja, die Ausnutzung ist relativ einfach und kann automatisiert werden.
Andere POST-Routen, die keine ordnungsgemäße Autorisierungsvalidierung implementieren, könnten anfällig sein.
Konsultieren Sie die offizielle MyTube-Dokumentation und Informationsquellen zum Thema Cybersicherheit.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.