Platform
other
Component
mytube
Opgelost in
1.8.73
CVE-2026-33935 is een kwetsbaarheid in MyTube waarbij een ongeauthenticeerde aanvaller administrator- en bezoekersaccounts kan blokkeren door mislukte inlogpogingen te triggeren. Dit komt doordat de applicatie drie publiekelijk toegankelijke wachtwoordverificatie-endpoints heeft die een gedeelde login-poging status opslaan. Het misbruik van deze kwetsbaarheid kan leiden tot een Denial of Service (DoS) voor legitieme gebruikers. De kwetsbaarheid treft MyTube versies kleiner dan 1.8.72. Deze is verholpen in versie 1.8.72.
CVE-2026-33935 heeft betrekking op MyTube, een zelf-gehoste downloader en speler voor verschillende videowebsites. Deze kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om administrator- en gebruikersaccounts te blokkeren door herhaaldelijk mislukte aanmeldingspogingen te doen. MyTube legt drie wachtwoordverificatie-endpoints bloot, die allemaal publiekelijk toegankelijk zijn. Deze endpoints delen een enkele, op een bestand gebaseerde aanmeldingspogingstatus, opgeslagen in login-attempts.json. Door voldoende mislukte authenticatiepogingen uit te lokken via een van deze endpoints, kan een aanvaller de toegestane pogingslimiet bereiken en de accounts effectief blokkeren, waardoor legitieme toegang wordt verhinderd. De ernst van deze kwetsbaarheid ligt in de eenvoud waarmee een aanvaller de dienst kan verstoren en legitieme gebruikers de toegang kan weigeren, vooral in omgevingen waar beschikbaarheid cruciaal is. Het ontbreken van authenticatie die vereist is om toegang te krijgen tot de wachtwoordverificatie-endpoints is de hoofdoorzaak van dit probleem.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een reeks mislukte aanmeldingsverzoeken naar een van de drie open wachtwoordverificatie-endpoints in MyTube te sturen. Er is geen authenticatie vereist om deze aanvallen uit te voeren, waardoor ze gemakkelijk uit te voeren zijn. De aanvaller heeft eenvoudigweg een script of tool nodig om het verzenden van verzoeken met incorrecte wachtwoorden te automatiseren. Zodra de limiet voor mislukte aanmeldingspogingen is bereikt, worden administrator- en gebruikersaccounts geblokkeerd. Dit type aanval is relatief eenvoudig uit te voeren en kan leiden tot aanzienlijke dienstverstoring. Het ontbreken van adequate beschermingsmechanismen in de kwetsbare versie van MyTube maakt exploitatie triviaal.
Organizations and individuals using self-hosted MyTube instances, particularly those running versions prior to 1.8.72, are at risk. Shared hosting environments where multiple users share a MyTube instance are particularly vulnerable, as an attacker could impact all users on the server.
disclosure
Exploit Status
EPSS
0.39% (60% percentiel)
CISA SSVC
De oplossing voor CVE-2026-33935 is om MyTube bij te werken naar versie 1.8.72 of hoger. Deze versie pakt de kwetsbaarheid aan door maatregelen te implementeren om het bestand login-attempts.json te beschermen en het aantal toegestane mislukte aanmeldingspogingen te beperken. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om het risico op accountblokkades te beperken. Daarnaast wordt aanbevolen om de beveiligingsconfiguratie van MyTube te beoordelen, inclusief het implementeren van robuuste wachtwoordbeleid en het monitoren van aanmeldelogs op verdachte activiteiten. Het overwegen van de implementatie van multi-factor authenticatie (MFA) kan een extra beveiligingslaag bieden, hoewel het geen directe oplossing is voor deze specifieke kwetsbaarheid. De update is de meest kritieke actie om dit beveiligingsprobleem aan te pakken.
Actualice MyTube a la versión 1.8.72 o posterior. Esta versión corrige la vulnerabilidad de bloqueo de cuentas no autenticado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een beveiligingslek in MyTube dat het mogelijk maakt om accounts te blokkeren.
Werk bij naar versie 1.8.72 of hoger.
Houd aanmeldelogs in de gaten en overweeg sterkere wachtwoordbeleid.
Nee, er is geen authenticatie vereist.
Er is geen direct alternatief; het updaten is de aanbevolen oplossing.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.