Plateforme
other
Composant
mytube
Corrigé dans
1.8.73
CVE-2026-33935 est une vulnérabilité de déni de service (DoS) affectant MyTube. Un attaquant non authentifié peut verrouiller les comptes administrateur et visiteur en déclenchant des tentatives de connexion infructueuses. Les versions de MyTube inférieures ou égales à 1.8.72 sont affectées. La version 1.8.72 corrige cette vulnérabilité.
CVE-2026-33935 affecte MyTube, une application d'hébergement auto-géré pour télécharger et lire des vidéos provenant de divers sites web. Cette vulnérabilité permet à un attaquant non authentifié de verrouiller les comptes d'administrateur et d'utilisateur en effectuant des tentatives de connexion infructueuses répétées. MyTube expose trois points d'extrémité de vérification de mot de passe, tous accessibles publiquement. Ces points d'extrémité partagent un état unique d'essais de connexion basé sur un fichier, stocké dans login-attempts.json. En déclenchant suffisamment de tentatives d'authentification infructueuses via l'une de ces points d'extrémité, un attaquant peut atteindre la limite autorisée de tentatives et verrouiller efficacement les comptes, empêchant ainsi l'accès légitime. La gravité de cette vulnérabilité réside dans la facilité avec laquelle un attaquant peut perturber le service et refuser l'accès aux utilisateurs légitimes, en particulier dans les environnements où la disponibilité est essentielle. L'absence d'authentification requise pour accéder aux points d'extrémité de vérification de mot de passe est la cause première de ce problème.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant une série de demandes de connexion infructueuses à l'une des trois points d'extrémité de vérification de mot de passe exposés dans MyTube. Aucune authentification n'est requise pour effectuer ces attaques, ce qui les rend faciles à exécuter. L'attaquant a simplement besoin d'un script ou d'un outil pour automatiser l'envoi de demandes avec des mots de passe incorrects. Une fois la limite de tentatives de connexion infructueuses atteinte, les comptes d'administrateur et d'utilisateur sont verrouillés. Ce type d'attaque est relativement simple à exécuter et peut entraîner une perturbation importante du service. L'absence de mécanismes de protection adéquats dans la version vulnérable de MyTube rend l'exploitation triviale.
Organizations and individuals using self-hosted MyTube instances, particularly those running versions prior to 1.8.72, are at risk. Shared hosting environments where multiple users share a MyTube instance are particularly vulnerable, as an attacker could impact all users on the server.
disclosure
Statut de l'Exploit
EPSS
0.39% (percentile 60%)
CISA SSVC
La solution à CVE-2026-33935 consiste à mettre à jour MyTube vers la version 1.8.72 ou ultérieure. Cette version corrige la vulnérabilité en mettant en œuvre des mesures pour protéger le fichier login-attempts.json et limiter le nombre de tentatives de connexion infructueuses autorisées. Il est fortement recommandé d'appliquer cette mise à jour dès que possible pour atténuer le risque de verrouillage de compte. De plus, il est conseillé de revoir la configuration de sécurité de MyTube, y compris la mise en œuvre de politiques de mot de passe robustes et la surveillance des journaux de connexion à la recherche d'activités suspectes. Envisager la mise en œuvre de l'authentification multifacteur (MFA) pourrait fournir une couche de sécurité supplémentaire, bien qu'il ne s'agisse pas d'une solution directe à cette vulnérabilité spécifique. La mise à jour est l'action la plus critique pour résoudre ce problème de sécurité.
Actualice MyTube a la versión 1.8.72 o posterior. Esta versión corrige la vulnerabilidad de bloqueo de cuentas no autenticado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de sécurité dans MyTube qui permet de verrouiller des comptes.
Mettez à jour vers la version 1.8.72 ou ultérieure.
Surveillez les journaux de connexion et envisagez des politiques de mot de passe plus fortes.
Non, aucune authentification n'est requise.
Il n'y a pas de solution alternative directe ; la mise à jour est la solution recommandée.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.