प्लेटफ़ॉर्म
other
घटक
mytube
में ठीक किया गया
1.8.73
CVE-2026-33935, MyTube में एक प्रमाणीकरण भेद्यता है. एक अप्रमाणित हमलावर विफल लॉगिन प्रयासों को ट्रिगर करके व्यवस्थापक और आगंतुक खातों को पासवर्ड-आधारित प्रमाणीकरण से लॉक कर सकता है. यह भेद्यता 1.8.72 से पहले के संस्करणों को प्रभावित करती है. संस्करण 1.8.72 में इस समस्या को ठीक कर दिया गया है.
CVE-2026-33935 MyTube को प्रभावित करता है, जो विभिन्न वीडियो वेबसाइटों के लिए एक स्व-होस्टेड डाउनलोडर और प्लेयर है। यह भेद्यता एक अनधिकृत हमलावर को बार-बार लॉगिन विफलताओं के माध्यम से व्यवस्थापक और आगंतुक खातों को लॉक करने की अनुमति देती है। MyTube तीन पासवर्ड सत्यापन एंडपॉइंट को उजागर करता है, सभी सार्वजनिक रूप से सुलभ हैं। ये एंडपॉइंट login-attempts.json में संग्रहीत एक एकल फ़ाइल-आधारित लॉगिन प्रयास स्थिति साझा करते हैं। इनमें से किसी भी एंडपॉइंट के माध्यम से पर्याप्त लॉगिन विफलताओं को ट्रिगर करके, एक हमलावर अनुमत प्रयास सीमा तक पहुंच सकता है और प्रभावी रूप से खातों को लॉक कर सकता है, जिससे वैध पहुंच बाधित होती है। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि एक हमलावर आसानी से सेवा को बाधित कर सकता है और वैध उपयोगकर्ताओं को पहुंच से वंचित कर सकता है, खासकर उन वातावरणों में जहां उपलब्धता महत्वपूर्ण है। पासवर्ड सत्यापन एंडपॉइंट तक पहुंचने के लिए आवश्यक प्रमाणीकरण की कमी इस समस्या का मूल कारण है।
एक हमलावर MyTube में उजागर तीन पासवर्ड सत्यापन एंडपॉइंट में से किसी एक को विफल लॉगिन अनुरोधों की एक श्रृंखला भेजकर इस भेद्यता का फायदा उठा सकता है। इन हमलों को करने के लिए प्रमाणीकरण की आवश्यकता नहीं है, जिससे वे निष्पादित करने में आसान हो जाते हैं। हमलावर को केवल गलत पासवर्ड के साथ अनुरोध भेजने की प्रक्रिया को स्वचालित करने के लिए एक स्क्रिप्ट या टूल की आवश्यकता होती है। विफल लॉगिन प्रयास सीमा तक पहुंचने के बाद, व्यवस्थापक और आगंतुक खातों को लॉक कर दिया जाएगा। इस प्रकार का हमला अपेक्षाकृत आसान है और इससे सेवा में महत्वपूर्ण व्यवधान हो सकता है। MyTube के कमजोर संस्करण में पर्याप्त सुरक्षा तंत्र की कमी के कारण शोषण करना तुच्छ हो जाता है।
Organizations and individuals using self-hosted MyTube instances, particularly those running versions prior to 1.8.72, are at risk. Shared hosting environments where multiple users share a MyTube instance are particularly vulnerable, as an attacker could impact all users on the server.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.39% (60% शतमक)
CISA SSVC
CVE-2026-33935 के लिए समाधान MyTube को संस्करण 1.8.72 या बाद के संस्करण में अपडेट करना है। यह संस्करण login-attempts.json फ़ाइल की सुरक्षा के लिए उपाय लागू करके और अनुमत विफल लॉगिन प्रयासों की संख्या को सीमित करके भेद्यता को संबोधित करता है। खाते के लॉकआउट के जोखिम को कम करने के लिए जल्द से जल्द इस अपडेट को लागू करने की पुरजोर सिफारिश की जाती है। इसके अतिरिक्त, MyTube के सुरक्षा कॉन्फ़िगरेशन की समीक्षा करना, जिसमें मजबूत पासवर्ड नीतियों को लागू करना और संदिग्ध गतिविधि के लिए लॉगिन लॉग की निगरानी करना शामिल है, की सलाह दी जाती है। मल्टी-फैक्टर प्रमाणीकरण (MFA) को लागू करने पर विचार करने से एक अतिरिक्त सुरक्षा परत प्रदान की जा सकती है, हालांकि यह इस विशिष्ट भेद्यता के लिए प्रत्यक्ष समाधान नहीं है। इस सुरक्षा समस्या को संबोधित करने के लिए अपडेट सबसे महत्वपूर्ण कार्रवाई है।
Actualice MyTube a la versión 1.8.72 o posterior. Esta versión corrige la vulnerabilidad de bloqueo de cuentas no autenticado.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह MyTube में एक सुरक्षा भेद्यता है जो खातों को लॉक करने की अनुमति देती है।
1.8.72 या बाद के संस्करण में अपडेट करें।
लॉगिन लॉग की निगरानी करें और मजबूत पासवर्ड नीतियों पर विचार करें।
नहीं, प्रमाणीकरण की आवश्यकता नहीं है।
कोई प्रत्यक्ष विकल्प नहीं है; अपडेट अनुशंसित समाधान है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।