Plateforme
sqlite
Composant
mytube
Corrigé dans
1.8.70
CVE-2026-33735 est une vulnérabilité de contournement d'autorisation affectant MyTube. Un attaquant disposant d'informations d'identification à faible privilège peut exploiter le point de terminaison /api/settings/import-database pour télécharger et remplacer la base de données SQLite de l'application, compromettant ainsi l'ensemble de l'application. Cette vulnérabilité affecte les versions de MyTube inférieures ou égales à 1.8.69. La version 1.8.69 corrige ce problème.
CVE-2026-33735 affecte MyTube, un logiciel d'hébergement auto pour télécharger et lire des vidéos provenant de diverses plateformes. La vulnérabilité réside dans le point de terminaison /api/settings/import-database, où une faille d'autorisation a été découverte. Cela permet aux attaquants disposant d'identifiants à faibles privilèges de télécharger et de remplacer complètement la base de données SQLite de l'application. L'impact est sévère, car un attaquant peut compromettre entièrement l'application, accéder à des données sensibles, modifier les configurations et potentiellement exécuter du code malveillant. La vulnérabilité ne se limite pas à ce point de terminaison ; elle pourrait être exploitée dans d'autres routes POST qui ne mettent pas en œuvre une validation d'autorisation appropriée. La gravité de cette défaillance réside dans la facilité avec laquelle un attaquant peut obtenir un contrôle total sur le système MyTube.
L'exploitation de CVE-2026-33735 nécessite un accès à l'application MyTube et des identifiants d'utilisateur disposant de privilèges minimaux. Un attaquant peut envoyer une requête POST au point de terminaison /api/settings/import-database avec une base de données SQLite malveillante. En raison de la faille d'autorisation, l'application acceptera la base de données fournie, écrasant celle existante. Cette attaque est relativement simple à exécuter et peut être automatisée. L'absence de validation des entrées dans des routes POST similaires augmente le risque d'exploitation. La nature auto-hébergée de MyTube signifie que la sécurité repose fortement sur la configuration et la maintenance de l'utilisateur, ce qui peut augmenter la probabilité que cette vulnérabilité reste non corrigée.
Self-hosted MyTube users are at significant risk, particularly those who have not implemented strong access controls or are running older, vulnerable versions. Shared hosting environments where multiple users share a single MyTube instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of the entire application.
• sqlite / server:
sqlite3 /path/to/MyTube/database.db "SELECT sql FROM sqlite_master WHERE type='table' AND name='users';"• generic web:
curl -I http://your-mytube-instance/api/settings/import-database(Check for 200 OK response with low-privilege user) • linux / server:
journalctl -u mytube | grep -i "import-database"(Look for unusual activity related to database imports)
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
La solution à CVE-2026-33735 consiste à mettre à jour MyTube vers la version 1.8.69 ou supérieure. Cette version inclut une correction qui atténue la faille d'autorisation dans le point de terminaison /api/settings/import-database et dans d'autres routes POST vulnérables. L'application immédiate de cette mise à jour est recommandée pour protéger votre instance MyTube. De plus, examinez la configuration de sécurité de votre application, en vous assurant que les identifiants d'utilisateur sont gérés de manière sécurisée et que des contrôles d'accès appropriés sont mis en œuvre pour restreindre l'accès aux fonctions critiques. La surveillance des journaux de l'application à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Actualice MyTube a la versión 1.8.69 o posterior. Esta versión corrige la vulnerabilidad de control de acceso que permite la manipulación de la base de datos. La actualización evitará que atacantes con privilegios bajos comprometan la aplicación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant pour une vulnérabilité de sécurité dans MyTube qui permet aux attaquants de remplacer la base de données de l'application.
Mettez à jour vers la version 1.8.69 ou supérieure immédiatement.
Oui, l'exploitation est relativement simple et peut être automatisée.
D'autres routes POST qui n'implémentent pas une validation d'autorisation appropriée pourraient être vulnérables.
Consultez la documentation officielle de MyTube et les sources d'information sur la cybersécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.