Plattform
other
Komponente
mytube
Behoben in
1.8.72
CVE-2026-33890 describes a Privilege Escalation vulnerability affecting MyTube, a self-hosted downloader and player. An attacker can register a passkey without authentication and subsequently use it to obtain a full administrator session, leading to complete application compromise. This vulnerability impacts versions of MyTube prior to 1.8.71, and a fix is available in version 1.8.71.
CVE-2026-33890 betrifft MyTube, einen selbst gehosteten Downloader und Player für mehrere Video-Websites. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, einen beliebigen Passkey zu registrieren und sich anschließend damit zu authentifizieren, um eine vollständige Admin-Session zu erhalten. Dies liegt daran, dass die Anwendung Passkey-Registrierungs-Endpunkte ohne vorherige Authentifizierung bereitstellt. Nach erfolgreicher Authentifizierung eines Passkeys wird automatisch ein Administrator-Token vergeben, das vollständigen Administratorzugriff auf die Anwendung ermöglicht. Der Schaden ist kritisch, da ein Angreifer die vollständige Kontrolle über die MyTube-Instanz erlangen kann, möglicherweise Benutzerdaten kompromittieren, Konfigurationen ändern und den Server für böswillige Zwecke nutzen kann. Das Fehlen einer Authentifizierung für die Passkey-Registrierung ist die Hauptursache für diese schwerwiegende Schwachstelle.
Die Ausnutzung von CVE-2026-33890 ist relativ einfach. Ein Angreifer kann einfach eine Anfrage an den Passkey-Registrierungs-Endpunkt mit einem gewählten Passkey senden. Sobald der Passkey registriert ist, kann er verwendet werden, um sich zu authentifizieren und ein Administrator-Token zu erhalten. Das Fehlen einer vorherigen Authentifizierung macht die Ausnutzung auch für Angreifer mit begrenzten technischen Kenntnissen zugänglich. Die einfache Ausnutzung erhöht das Risiko automatisierter Angriffe und die Wahrscheinlichkeit, dass die Schwachstelle in der Wildnis ausgenutzt wird. Es wird empfohlen, die MyTube-Protokolle auf verdächtige Passkey-Registrierungsversuche zu überwachen.
Self-hosted MyTube deployments are at risk, particularly those accessible from the public internet or untrusted networks. Users who have not implemented strong network segmentation or access controls are especially vulnerable. Shared hosting environments running MyTube are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
disclosure
Exploit-Status
EPSS
0.27% (50% Perzentil)
CISA SSVC
Die Lösung für CVE-2026-33890 ist die Aktualisierung von MyTube auf Version 1.8.71 oder höher. Diese Version behebt die Schwachstelle, indem sie die erforderliche Authentifizierung für die Passkey-Registrierung implementiert. Darüber hinaus wird empfohlen, die Konfiguration von MyTube zu überprüfen und zu prüfen, um sicherzustellen, dass Sicherheitsbest Practices eingehalten werden. Wenn ein sofortiges Update nicht möglich ist, wird empfohlen, den Zugriff auf die Anwendung zu beschränken und auf verdächtige Aktivitäten zu achten. Die zeitnahe Anwendung dieses Updates ist entscheidend, um Ihre MyTube-Instanz vor potenziellen Angriffen zu schützen. Das Update ist der effektivste Weg, dieses Risiko zu mindern.
Actualice MyTube a la versión 1.8.71 o posterior. Esta versión corrige la vulnerabilidad que permite a atacantes no autenticados obtener privilegios de administrador. La actualización previene el acceso no autorizado y la posible manipulación de la aplicación.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
MyTube ist ein selbst gehosteter Downloader und Player für mehrere Video-Websites.
Version 1.8.71 behebt CVE-2026-33890, der es einem Angreifer ermöglicht, Administratorzugriff ohne Authentifizierung zu erhalten.
Beschränken Sie den Zugriff auf die Anwendung und überwachen Sie verdächtige Aktivitäten.
Überprüfen Sie die MyTube-Protokolle auf verdächtige Passkey-Registrierungsversuche und ungewöhnliche administrative Aktivitäten.
Derzeit gibt es keine spezifischen Tools, aber regelmäßige Sicherheitsaudits und die Überwachung der Anwendungsprotokolle werden empfohlen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.