MEDIUMCVE-2026-33735

MyTubeは、完全なアプリケーションテイクオーバーを可能にする不適切なアクセス制御があります

Q: CVE-2026-33735 とは何ですか？（MyTube）

これは、MyTube のアプリケーションデータベースを攻撃者が置き換えることができるセキュリティ脆弱性の識別子です。

Q: MyTube の CVE-2026-33735 による影響を受けていますか？

すぐにバージョン 1.8.69 以降に更新してください。

Q: MyTube の CVE-2026-33735 を修正するにはどうすればよいですか？

はい、悪用は比較的簡単で、自動化できます。

Q: CVE-2026-33735 は積極的に悪用されていますか？

適切な認証検証を実装していない他の POST ルートが脆弱になる可能性があります。

Q: CVE-2026-33735 に関する MyTube の公式アドバイザリはどこで確認できますか？

MyTube の公式ドキュメントとサイバーセキュリティの情報源を参照してください。

プラットフォーム

sqlite

コンポーネント

mytube

修正版

1.8.70

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33735は、MyTubeに存在する脆弱性で、低権限のユーザーがアプリケーションのSQLiteデータベースを完全に置き換えることができます。これにより、アプリケーション全体が侵害される可能性があります。影響を受けるバージョンは1.8.69以前です。この問題は、バージョン1.8.69で修正されています。

影響と攻撃シナリオ

CVE-2026-33735 は、MyTube に影響を与えます。MyTube は、さまざまなビデオウェブサイト用のセルフホスト型ダウンローダーおよびプレーヤーです。脆弱性は /api/settings/import-database エンドポイントに存在し、認証バイパスが発見されました。これにより、低権限の資格情報を持つ攻撃者は、アプリケーションの SQLite データベースをアップロードして完全に置き換えることができます。影響は深刻であり、攻撃者はアプリケーションを完全に侵害し、機密データにアクセスし、構成を変更し、悪意のあるコードを実行する可能性があります。この脆弱性は、このエンドポイントに限定されず、適切な認証検証を実装していない他の POST ルートで悪用される可能性があります。この欠陥の重大性は、攻撃者が MyTube システム全体を制御する容易さにあります。

悪用の状況

CVE-2026-33735 の悪用には、MyTube アプリケーションへのアクセスと最小限の権限を持つユーザーの資格情報が必要です。攻撃者は、悪意のある SQLite データベースとともに /api/settings/import-database エンドポイントに POST リクエストを送信できます。認証バイパスのため、アプリケーションは提供されたデータベースを受け入れ、既存のデータベースを上書きします。この攻撃は比較的簡単に実行でき、自動化できます。同様の POST ルートにおける入力検証の欠如は、悪用のリスクを高めます。MyTube のセルフホストされた性質は、セキュリティがユーザーの構成とメンテナンスに大きく依存することを意味し、この脆弱性が修正されないままになる可能性を高める可能性があります。

リスク対象者翻訳中…

Self-hosted MyTube users are at significant risk, particularly those who have not implemented strong access controls or are running older, vulnerable versions. Shared hosting environments where multiple users share a single MyTube instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of the entire application.

検出手順翻訳中…

• sqlite / server:

sqlite3 /path/to/MyTube/database.db "SELECT sql FROM sqlite_master WHERE type='table' AND name='users';"

• generic web:

curl -I http://your-mytube-instance/api/settings/import-database

(Check for 200 OK response with low-privilege user) • linux / server:

journalctl -u mytube | grep -i "import-database"

(Look for unusual activity related to database imports)

攻撃タイムライン

2026-03-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントmytube

ベンダーfranklioxygen

影響範囲修正版

< 1.8.69 – < 1.8.691.8.70

弱点分類 (CWE)

CWE-285 CWE-639

タイムライン

予約済み2026-03-23
公開日2026-03-27
EPSS 更新日2026-04-03

緩和策と回避策

CVE-2026-33735 の解決策は、MyTube をバージョン 1.8.69 以降に更新することです。このバージョンには、/api/settings/import-database エンドポイントおよびその他の脆弱な POST ルートの認証バイパスを軽減する修正が含まれています。MyTube インスタンスを保護するために、この更新を直ちに適用することをお勧めします。さらに、アプリケーションのセキュリティ構成を確認し、ユーザーの資格情報が安全に管理され、重要な機能へのアクセスを制限するために適切なアクセス制御が実装されていることを確認してください。アプリケーションログを疑わしいアクティビティについて監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。

修正方法

MyTubeをバージョン1.8.69以降にアップグレードしてください。このバージョンでは、データベースの操作を可能にするアクセス制御の脆弱性が修正されます。アップグレードにより、低権限の攻撃者がアプリケーションを侵害することを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33735 とは何ですか？（MyTube）