Platform
other
Component
mytube
Opgelost in
1.8.72
CVE-2026-33890 is een Privilege Escalatie kwetsbaarheid in MyTube, een self-hosted downloader en player. Een ongeauthenticeerde aanvaller kan een willekeurige passkey registreren en daarmee een volledige admin sessie verkrijgen, wat leidt tot een volledige compromittering van de applicatie. Deze kwetsbaarheid treft MyTube versies lager dan 1.8.71. De kwetsbaarheid is verholpen in versie 1.8.71.
CVE-2026-33890 treft MyTube, een zelf-gehoste downloader en speler voor verschillende videowebsites. De kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat een willekeurige passkey te registreren en zich vervolgens te authenticeren met deze passkey om een volledige admin sessie te verkrijgen. Dit komt doordat de applicatie passkey registratie endpoints blootstelt zonder voorafgaande authenticatie te vereisen. Na succesvolle authenticatie van een passkey wordt automatisch een administrator token verstrekt, waardoor volledige administratieve toegang tot de applicatie mogelijk is. De impact is kritiek, aangezien een aanvaller de volledige controle over de MyTube instantie kan overnemen, mogelijk gebruikersgegevens kan compromitteren, configuraties kan wijzigen en de server kan gebruiken voor kwaadaardige doeleinden. Het ontbreken van authenticatie voor passkey registratie is de belangrijkste oorzaak van deze ernstige kwetsbaarheid.
Het exploiteren van CVE-2026-33890 is relatief eenvoudig. Een aanvaller kan eenvoudig een verzoek naar de passkey registratie endpoint sturen met een gekozen passkey. Zodra de passkey is geregistreerd, kan deze worden gebruikt om te authenticeren en een administrator token te verkrijgen. Het ontbreken van voorafgaande authenticatie maakt exploitatie toegankelijk, zelfs voor aanvallers met beperkte technische expertise. De eenvoud van exploitatie vergroot het risico op geautomatiseerde aanvallen en de kans dat de kwetsbaarheid in het wild wordt uitgebuit. Het wordt aanbevolen de MyTube logs te controleren op verdachte passkey registratie pogingen.
Self-hosted MyTube deployments are at risk, particularly those accessible from the public internet or untrusted networks. Users who have not implemented strong network segmentation or access controls are especially vulnerable. Shared hosting environments running MyTube are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
disclosure
Exploit Status
EPSS
0.27% (50% percentiel)
CISA SSVC
De oplossing voor CVE-2026-33890 is het updaten van MyTube naar versie 1.8.71 of hoger. Deze versie corrigeert de kwetsbaarheid door de vereiste authenticatie voor passkey registratie te implementeren. Daarnaast wordt aanbevolen de configuratie van MyTube te beoordelen en te auditeren om ervoor te zorgen dat beveiligingsbest practices worden gevolgd. Indien een onmiddellijke update niet mogelijk is, wordt aanbevolen de toegang tot de applicatie te beperken en te controleren op verdachte activiteiten. Het tijdig toepassen van deze update is cruciaal om uw MyTube instantie te beschermen tegen potentiële aanvallen. De update is de meest effectieve manier om dit risico te beperken.
Actualice MyTube a la versión 1.8.71 o posterior. Esta versión corrige la vulnerabilidad que permite a atacantes no autenticados obtener privilegios de administrador. La actualización previene el acceso no autorizado y la posible manipulación de la aplicación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
MyTube is een zelf-gehoste downloader en speler voor verschillende videowebsites.
Versie 1.8.71 fixeert CVE-2026-33890, waardoor een aanvaller administrator toegang kan verkrijgen zonder authenticatie.
Beperk de toegang tot de applicatie en controleer op verdachte activiteiten.
Controleer de MyTube logs op verdachte passkey registratie pogingen en ongebruikelijke administratieve activiteiten.
Momenteel zijn er geen specifieke tools, maar regelmatige beveiligingsaudits en het monitoren van de applicatielogs worden aanbevolen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.