प्लेटफ़ॉर्म
sqlite
घटक
mytube
में ठीक किया गया
1.8.70
CVE-2026-33735 MyTube में एक प्रमाणीकरण बाईपास भेद्यता है। इसका फायदा उठाकर, कम विशेषाधिकार वाले हमलावर एप्लिकेशन के SQLite डेटाबेस को अपलोड और बदल सकते हैं, जिससे एप्लिकेशन पूरी तरह से खतरे में पड़ सकता है। यह भेद्यता 1.8.69 से पहले के MyTube संस्करणों को प्रभावित करती है। संस्करण 1.8.69 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-33735 MyTube को प्रभावित करता है, जो विभिन्न वीडियो वेबसाइटों के लिए एक स्व-होस्टेड डाउनलोडर और प्लेयर है। भेद्यता /api/settings/import-database एंडपॉइंट में मौजूद है, जहां एक प्राधिकरण बाईपास की खोज की गई है। यह कम विशेषाधिकार वाले क्रेडेंशियल्स वाले हमलावरों को एप्लिकेशन के SQLite डेटाबेस को अपलोड और पूरी तरह से बदलने की अनुमति देता है। प्रभाव गंभीर है, क्योंकि एक हमलावर एप्लिकेशन को पूरी तरह से समझौता कर सकता है, संवेदनशील डेटा तक पहुंच सकता है, कॉन्फ़िगरेशन को संशोधित कर सकता है और संभावित रूप से दुर्भावनापूर्ण कोड निष्पादित कर सकता है। यह भेद्यता इस एंडपॉइंट तक सीमित नहीं है; यह अन्य POST मार्गों में भी शोषण किया जा सकता है जो उचित प्राधिकरण सत्यापन को लागू नहीं करते हैं। इस दोष की गंभीरता इस तथ्य में निहित है कि एक हमलावर MyTube सिस्टम पर पूर्ण नियंत्रण आसानी से प्राप्त कर सकता है।
CVE-2026-33735 का शोषण करने के लिए MyTube एप्लिकेशन तक पहुंच और न्यूनतम विशेषाधिकार वाले उपयोगकर्ता क्रेडेंशियल्स की आवश्यकता होती है। एक हमलावर दुर्भावनापूर्ण SQLite डेटाबेस के साथ /api/settings/import-database एंडपॉइंट पर एक POST अनुरोध भेज सकता है। प्राधिकरण बाईपास के कारण, एप्लिकेशन प्रदान किए गए डेटाबेस को स्वीकार करेगा और मौजूदा डेटाबेस को ओवरराइट करेगा। यह हमला अपेक्षाकृत आसान है और इसे स्वचालित किया जा सकता है। समान POST मार्गों में इनपुट सत्यापन की कमी शोषण के जोखिम को बढ़ाती है। MyTube की स्व-होस्टेड प्रकृति का अर्थ है कि सुरक्षा उपयोगकर्ता कॉन्फ़िगरेशन और रखरखाव पर बहुत अधिक निर्भर करती है, जिससे इस भेद्यता को अनपैच रहने की संभावना बढ़ सकती है।
Self-hosted MyTube users are at significant risk, particularly those who have not implemented strong access controls or are running older, vulnerable versions. Shared hosting environments where multiple users share a single MyTube instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of the entire application.
• sqlite / server:
sqlite3 /path/to/MyTube/database.db "SELECT sql FROM sqlite_master WHERE type='table' AND name='users';"• generic web:
curl -I http://your-mytube-instance/api/settings/import-database(Check for 200 OK response with low-privilege user) • linux / server:
journalctl -u mytube | grep -i "import-database"(Look for unusual activity related to database imports)
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVE-2026-33735 के लिए समाधान MyTube को संस्करण 1.8.69 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो /api/settings/import-database एंडपॉइंट और अन्य असुरक्षित POST मार्गों में प्राधिकरण बाईपास को कम करता है। आपके MyTube इंस्टेंस की सुरक्षा के लिए इस अपडेट को तुरंत लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, अपने एप्लिकेशन के सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें, यह सुनिश्चित करें कि उपयोगकर्ता क्रेडेंशियल्स को सुरक्षित रूप से प्रबंधित किया जाता है और महत्वपूर्ण कार्यों तक पहुंच को प्रतिबंधित करने के लिए उचित एक्सेस नियंत्रण लागू किए जाते हैं। संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की निगरानी भी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है।
Actualice MyTube a la versión 1.8.69 o posterior. Esta versión corrige la vulnerabilidad de control de acceso que permite la manipulación de la base de datos. La actualización evitará que atacantes con privilegios bajos comprometan la aplicación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह MyTube में एक सुरक्षा भेद्यता के लिए एक पहचानकर्ता है जो हमलावरों को एप्लिकेशन के डेटाबेस को बदलने की अनुमति देता है।
तुरंत संस्करण 1.8.69 या उच्चतर में अपडेट करें।
हाँ, शोषण अपेक्षाकृत आसान है और इसे स्वचालित किया जा सकता है।
उचित प्राधिकरण सत्यापन को लागू नहीं करने वाले अन्य POST मार्ग कमजोर हो सकते हैं।
MyTube के आधिकारिक दस्तावेज़ और साइबर सुरक्षा सूचना स्रोतों से परामर्श करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।