Plattform
other
Komponente
mytube
Behoben in
1.8.73
CVE-2026-33935 is a vulnerability affecting MyTube, a self-hosted downloader and player. An unauthenticated attacker can trigger failed login attempts, leading to administrator and visitor account lockouts. This impacts versions of MyTube prior to 1.8.72. A patch is available in version 1.8.72.
CVE-2026-33935 betrifft MyTube, eine selbst gehostete Download- und Player-Anwendung für verschiedene Video-Websites. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, Administrator- und Benutzerkonten durch wiederholte fehlgeschlagene Anmeldeversuche zu sperren. MyTube legt drei Passwort-Verifizierungs-Endpunkte offen, die alle öffentlich zugänglich sind. Diese Endpunkte teilen sich einen einzelnen, dateibasierten Anmeldeversuchs-Status, der in login-attempts.json gespeichert ist. Durch das Auslösen einer ausreichenden Anzahl fehlgeschlagener Authentifizierungsversuche über einen dieser Endpunkte kann ein Angreifer die zulässige Anzahl von Versuchen erreichen und die Konten effektiv sperren, wodurch der legitime Zugriff verhindert wird. Die Schwere dieser Schwachstelle liegt in der einfachen Möglichkeit, mit der ein Angreifer den Dienst stören und den legitimen Benutzern den Zugriff verweigern kann, insbesondere in Umgebungen, in denen die Verfügbarkeit kritisch ist. Das Fehlen einer Authentifizierung, die zum Zugriff auf die Passwort-Verifizierungs-Endpunkte erforderlich ist, ist die Hauptursache für dieses Problem.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Reihe von fehlgeschlagenen Anmeldeanfragen an einen der drei offenen Passwort-Verifizierungs-Endpunkte in MyTube sendet. Für die Durchführung dieser Angriffe ist keine Authentifizierung erforderlich, was sie einfach auszuführen macht. Der Angreifer benötigt lediglich ein Skript oder ein Tool, um das Senden von Anfragen mit falschen Passwörtern zu automatisieren. Sobald die Grenze für fehlgeschlagene Anmeldeversuche erreicht ist, werden Administrator- und Benutzerkonten gesperrt. Diese Art von Angriff ist relativ einfach auszuführen und kann zu einer erheblichen Störung des Dienstes führen. Das Fehlen geeigneter Schutzmechanismen in der anfälligen Version von MyTube macht die Ausnutzung trivial.
Organizations and individuals using self-hosted MyTube instances, particularly those running versions prior to 1.8.72, are at risk. Shared hosting environments where multiple users share a MyTube instance are particularly vulnerable, as an attacker could impact all users on the server.
disclosure
Exploit-Status
EPSS
0.39% (60% Perzentil)
CISA SSVC
Die Lösung für CVE-2026-33935 ist die Aktualisierung von MyTube auf Version 1.8.72 oder höher. Diese Version behebt die Schwachstelle, indem Maßnahmen implementiert werden, um die Datei login-attempts.json zu schützen und die Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche zu begrenzen. Es wird dringend empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko von Kontosperrungen zu mindern. Darüber hinaus wird empfohlen, die Sicherheitseinstellungen von MyTube zu überprüfen, einschließlich der Implementierung robuster Passwortrichtlinien und der Überwachung der Anmelde-Logs auf verdächtige Aktivitäten. Die Implementierung einer Multi-Faktor-Authentifizierung (MFA) könnte eine zusätzliche Sicherheitsebene bieten, obwohl es sich nicht um eine direkte Lösung für diese spezifische Schwachstelle handelt. Das Update ist die wichtigste Maßnahme zur Behebung dieses Sicherheitsproblems.
Actualice MyTube a la versión 1.8.72 o posterior. Esta versión corrige la vulnerabilidad de bloqueo de cuentas no autenticado.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Sicherheitslücke in MyTube, die es ermöglicht, Konten zu sperren.
Aktualisieren Sie auf Version 1.8.72 oder höher.
Überwachen Sie die Anmelde-Logs und erwägen Sie stärkere Passwortrichtlinien.
Nein, es ist keine Authentifizierung erforderlich.
Es gibt keine direkte Alternative; die Aktualisierung ist die empfohlene Lösung.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.