プラットフォーム
other
コンポーネント
mytube
修正版
1.8.73
CVE-2026-33935 は、MyTube に存在する認証バイパスの脆弱性です。この脆弱性により、未認証の攻撃者はログイン試行を繰り返し、管理者アカウントとビジターアカウントをロックアウトできます。影響を受けるバージョンは 1.8.72 以前です。この問題はバージョン 1.8.72 で修正されました。
CVE-2026-33935 は MyTube に影響を与えます。MyTube は、さまざまなビデオウェブサイト向けのセルフホスト型ダウンローダーおよびプレーヤーです。この脆弱性により、認証されていない攻撃者は、反復的なログイン失敗試行を通じて管理者および訪問者アカウントをロックアウトできます。MyTube は、すべてパブリックにアクセス可能な 3 つのパスワード検証エンドポイントを公開しています。これらのエンドポイントはすべて、login-attempts.json に保存された単一のファイルベースのログイン試行状態を共有しています。これらのエンドポイントのいずれかを通じて十分な数の認証失敗試行をトリガーすることにより、攻撃者は許可された試行回数に達し、アカウントを効果的にロックアウトして、正当なアクセスを防止できます。この脆弱性の重大度は、攻撃者がサービスを中断し、正当なユーザーへのアクセスを拒否する容易さにあります。特に可用性が重要な環境では、このことが重要になります。パスワード検証エンドポイントへのアクセスに必要な認証がないことが、この問題の根本原因です。
攻撃者は、MyTube の公開されている 3 つのパスワード検証エンドポイントのいずれかに一連の失敗したログインリクエストを送信することにより、この脆弱性を悪用できます。これらの攻撃を実行するには認証は必要なく、実行が容易です。攻撃者は、不正確なパスワードを含むリクエストを送信するプロセスを自動化するスクリプトまたはツールを必要とします。失敗したログイン試行の制限に達すると、管理者および訪問者アカウントがロックアウトされます。このタイプの攻撃は比較的簡単に実行でき、サービスの中断を引き起こす可能性があります。MyTube の脆弱なバージョンにおける適切な保護メカニズムの欠如により、悪用が簡単になります。
Organizations and individuals using self-hosted MyTube instances, particularly those running versions prior to 1.8.72, are at risk. Shared hosting environments where multiple users share a MyTube instance are particularly vulnerable, as an attacker could impact all users on the server.
disclosure
エクスプロイト状況
EPSS
0.39% (60% パーセンタイル)
CISA SSVC
CVE-2026-33935 の解決策は、MyTube をバージョン 1.8.72 以降に更新することです。このバージョンは、login-attempts.json ファイルを保護し、許可される失敗したログイン試行回数を制限する対策を実装することにより、脆弱性を修正します。このアップデートをできるだけ早く適用することを強くお勧めします。さらに、MyTube のセキュリティ構成をレビューし、堅牢なパスワードポリシーを実装し、疑わしいアクティビティの有無を確認するためにログインログを監視することをお勧めします。多要素認証 (MFA) の実装を検討すると、追加のセキュリティレイヤーを提供できますが、これはこの特定の脆弱性に対する直接的な解決策ではありません。アップデートが、このセキュリティ問題を解決するための最も重要なアクションです。
MyTubeをバージョン1.8.72以降にアップグレードしてください。このバージョンでは、認証されていないアカウントロックアウトの脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
MyTube のセキュリティ脆弱性であり、アカウントをロックアウトできます。
バージョン 1.8.72 以降に更新してください。
ログインログを監視し、より強力なパスワードポリシーを検討してください。
いいえ、認証は必要ありません。
直接的な代替ソリューションはありません。更新が推奨される解決策です。