Plateforme
other
Composant
mytube
Corrigé dans
1.8.72
CVE-2026-33890 est une vulnérabilité d'escalade de privilèges non authentifiée affectant MyTube. Un attaquant non authentifié peut enregistrer une clé d'accès arbitraire et s'authentifier avec celle-ci pour obtenir une session d'administrateur complète, permettant un accès administratif total à l'application. Cela permet une compromission complète de l'application sans nécessiter d'informations d'identification existantes. La vulnérabilité affecte les versions de MyTube inférieures ou égales à 1.8.71. La version 1.8.71 corrige ce problème.
CVE-2026-33890 affecte MyTube, un téléchargeur et lecteur auto-hébergé pour plusieurs sites web de vidéos. La vulnérabilité permet à un attaquant non authentifié d'enregistrer une clé d'accès arbitraire et, par la suite, de s'authentifier avec celle-ci pour obtenir une session administrateur complète. Ceci est dû au fait que l'application expose des points d'accès d'enregistrement de clés d'accès sans exiger d'authentification préalable. Après une authentification réussie d'une clé d'accès, un jeton d'administrateur est automatiquement accordé, permettant un accès administratif complet à l'application. L'impact est critique, car un attaquant peut obtenir un contrôle total de l'instance MyTube, compromettant potentiellement les données des utilisateurs, modifiant les configurations et utilisant le serveur à des fins malveillantes. L'absence d'authentification pour l'enregistrement des clés d'accès est la cause première de cette grave vulnérabilité.
L'exploitation de CVE-2026-33890 est relativement simple. Un attaquant peut simplement envoyer une requête au point d'accès d'enregistrement des clés d'accès avec une clé d'accès choisie. Une fois la clé d'accès enregistrée, elle peut être utilisée pour s'authentifier et obtenir un jeton d'administrateur. L'absence d'authentification préalable rend l'exploitation accessible même aux attaquants ayant des compétences techniques limitées. La facilité d'exploitation augmente le risque d'attaques automatisées et la probabilité que la vulnérabilité soit exploitée dans la nature. Il est recommandé de surveiller les journaux de MyTube pour les tentatives suspectes d'enregistrement de clés d'accès.
Self-hosted MyTube deployments are at risk, particularly those accessible from the public internet or untrusted networks. Users who have not implemented strong network segmentation or access controls are especially vulnerable. Shared hosting environments running MyTube are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
disclosure
Statut de l'Exploit
EPSS
0.27% (percentile 50%)
CISA SSVC
La solution pour CVE-2026-33890 est de mettre à jour MyTube vers la version 1.8.71 ou ultérieure. Cette version corrige la vulnérabilité en mettant en œuvre l'authentification requise pour l'enregistrement des clés d'accès. De plus, il est recommandé de revoir et d'auditer la configuration de MyTube pour s'assurer que les meilleures pratiques de sécurité sont suivies. Si une mise à jour immédiate n'est pas possible, il est conseillé de limiter l'accès à l'application et de surveiller les activités suspectes. Appliquer cette mise à jour rapidement est crucial pour protéger votre instance MyTube contre d'éventuelles attaques. La mise à jour est le moyen le plus efficace d'atténuer ce risque.
Actualice MyTube a la versión 1.8.71 o posterior. Esta versión corrige la vulnerabilidad que permite a atacantes no autenticados obtener privilegios de administrador. La actualización previene el acceso no autorizado y la posible manipulación de la aplicación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
MyTube est un téléchargeur et lecteur auto-hébergé pour plusieurs sites web de vidéos.
La version 1.8.71 corrige le CVE-2026-33890, qui permet à un attaquant d'obtenir un accès administrateur sans authentification.
Limitez l'accès à l'application et surveillez les activités suspectes.
Examinez les journaux de MyTube pour les tentatives suspectes d'enregistrement de clés d'accès et les activités administratives inhabituelles.
Actuellement, il n'existe pas d'outils spécifiques, mais des audits de sécurité réguliers et la surveillance des journaux de l'application sont recommandés.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.