Platform
sqlite
Component
mytube
Opgelost in
1.8.70
CVE-2026-33735 is een autorisatie bypass kwetsbaarheid in MyTube. Deze kwetsbaarheid stelt aanvallers met lage privileges in staat om de SQLite database van de applicatie te uploaden en te vervangen via het /api/settings/import-database endpoint, wat resulteert in een volledige compromittering van de applicatie. De kwetsbaarheid treft MyTube versies kleiner dan 1.8.69. De kwetsbaarheid is verholpen in versie 1.8.69.
CVE-2026-33735 treft MyTube, een zelf-gehoste downloader en speler voor verschillende videoplatformen. De kwetsbaarheid bevindt zich in de /api/settings/import-database endpoint, waar een autorisatie-omzeiling is ontdekt. Dit stelt aanvallers met lage-privilege credentials in staat om de SQLite-database van de applicatie te uploaden en volledig te vervangen. De impact is ernstig, aangezien een aanvaller de applicatie volledig kan compromitteren, toegang kan krijgen tot gevoelige gegevens, configuraties kan wijzigen en potentieel kwaadaardige code kan uitvoeren. De kwetsbaarheid is niet beperkt tot deze endpoint; het kan worden misbruikt in andere POST-routes die geen adequate autorisatievalidatie implementeren. De ernst van dit defect ligt in de eenvoud waarmee een aanvaller de volledige controle over het MyTube-systeem kan verwerven.
Het exploiteren van CVE-2026-33735 vereist toegang tot de MyTube-applicatie en gebruikerscredentials met minimale privileges. Een aanvaller kan een POST-verzoek naar de /api/settings/import-database endpoint sturen met een kwaadaardige SQLite-database. Vanwege de autorisatie-omzeiling accepteert de applicatie de verstrekte database en overschrijft de bestaande. Deze aanval is relatief eenvoudig uit te voeren en kan worden geautomatiseerd. Het ontbreken van invoervalidatie in vergelijkbare POST-routes vergroot het risico op misbruik. De zelf-gehoste aard van MyTube betekent dat de beveiliging sterk afhangt van de configuratie en het onderhoud van de gebruiker, wat de kans kan vergroten dat deze kwetsbaarheid onopgelost blijft.
Self-hosted MyTube users are at significant risk, particularly those who have not implemented strong access controls or are running older, vulnerable versions. Shared hosting environments where multiple users share a single MyTube instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of the entire application.
• sqlite / server:
sqlite3 /path/to/MyTube/database.db "SELECT sql FROM sqlite_master WHERE type='table' AND name='users';"• generic web:
curl -I http://your-mytube-instance/api/settings/import-database(Check for 200 OK response with low-privilege user) • linux / server:
journalctl -u mytube | grep -i "import-database"(Look for unusual activity related to database imports)
disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
De oplossing voor CVE-2026-33735 is om MyTube te updaten naar versie 1.8.69 of hoger. Deze versie bevat een fix die de autorisatie-omzeiling in de /api/settings/import-database endpoint en in andere kwetsbare POST-routes verzacht. Het onmiddellijk toepassen van deze update wordt aanbevolen om uw MyTube-instantie te beschermen. Controleer bovendien de beveiligingsconfiguratie van uw applicatie en zorg ervoor dat gebruikerscredentials veilig worden beheerd en dat passende toegangscontroles worden geïmplementeerd om de toegang tot kritieke functies te beperken. Het monitoren van applicatielogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice MyTube a la versión 1.8.69 o posterior. Esta versión corrige la vulnerabilidad de control de acceso que permite la manipulación de la base de datos. La actualización evitará que atacantes con privilegios bajos comprometan la aplicación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een identificator voor een beveiligingslek in MyTube dat aanvallers in staat stelt om de database van de applicatie te vervangen.
Update onmiddellijk naar versie 1.8.69 of hoger.
Ja, de exploitatie is relatief eenvoudig en kan worden geautomatiseerd.
Andere POST-routes die geen adequate autorisatievalidatie implementeren, kunnen kwetsbaar zijn.
Raadpleeg de officiële MyTube-documentatie en bronnen voor informatie over cyberbeveiliging.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.