CVE-2026-33890は、MyTubeにおける権限昇格の脆弱性です。この脆弱性により、未認証の攻撃者が任意のパスキーを登録し、管理者セッションを取得できます。1.8.71より前のバージョンが影響を受けます。この問題はバージョン1.8.71で修正されています。
CVE-2026-33890 は、MyTube に影響を与えます。MyTube は、いくつかのビデオウェブサイト向けのセルフホスト型ダウンローダーおよびプレーヤーです。この脆弱性により、認証されていない攻撃者が任意のパスキーを登録し、そのパスキーで認証して完全な管理者セッションを取得できます。これは、アプリケーションが事前の認証を必要とせずにパスキー登録エンドポイントを公開するためです。パスキーの認証に成功すると、自動的に管理者トークンが付与され、アプリケーションへの完全な管理者アクセスが可能になります。影響は深刻であり、攻撃者は MyTube インスタンスを完全に制御し、ユーザーデータを侵害したり、構成を変更したり、サーバーを悪意のある目的で使用したりする可能性があります。パスキー登録のための認証がないことが、この深刻な脆弱性の根本原因です。
CVE-2026-33890 の悪用は比較的簡単です。攻撃者は、選択したパスキーでパスキー登録エンドポイントにリクエストを送信するだけで済みます。パスキーが登録されると、それを使用して認証し、管理者トークンを取得できます。事前の認証がないため、限られた技術的専門知識を持つ攻撃者でも悪用が可能です。悪用の容易さは、自動化された攻撃のリスクを高め、この脆弱性が実際に悪用される可能性を高めます。MyTube のログを、疑わしいパスキー登録試行について監視することをお勧めします。
Self-hosted MyTube deployments are at risk, particularly those accessible from the public internet or untrusted networks. Users who have not implemented strong network segmentation or access controls are especially vulnerable. Shared hosting environments running MyTube are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
disclosure
エクスプロイト状況
EPSS
0.27% (50% パーセンタイル)
CISA SSVC
CVE-2026-33890 の修正策は、MyTube をバージョン 1.8.71 以降に更新することです。このバージョンは、パスキー登録に必要な認証を実装することで脆弱性を修正します。さらに、MyTube の構成をレビューおよび監査して、セキュリティベストプラクティスが遵守されていることを確認することをお勧めします。直ちに更新できない場合は、アプリケーションへのアクセスを制限し、疑わしいアクティビティを監視することをお勧めします。この更新を迅速に適用することは、潜在的な攻撃から MyTube インスタンスを保護するために不可欠です。更新は、このリスクを軽減するための最も効果的な方法です。
MyTubeをバージョン1.8.71以降にアップグレードしてください。このバージョンでは、認証されていない攻撃者が管理者権限を取得できる脆弱性が修正されます。アップグレードにより、不正アクセスとアプリケーションの潜在的な操作が防止されます。
脆弱性分析と重要アラートをメールでお届けします。
MyTube は、いくつかのビデオウェブサイト向けのセルフホスト型ダウンローダーおよびプレーヤーです。
バージョン 1.8.71 は CVE-2026-33890 を修正し、攻撃者が認証なしで管理者アクセスを取得することを可能にします。
アプリケーションへのアクセスを制限し、疑わしいアクティビティを監視してください。
MyTube のログを調べて、疑わしいパスキー登録試行や異常な管理者アクティビティがないか確認してください。
現在、特定のツールはありませんが、定期的なセキュリティ監査とアプリケーションログの監視をお勧めします。