Plataforma
sqlite
Componente
mytube
Corrigido em
1.8.70
A vulnerabilidade CVE-2026-33735, um bypass de autorização, afeta o MyTube, permitindo que atacantes substituam o banco de dados SQLite. Isso pode levar ao comprometimento total do aplicativo. As versões vulneráveis são as anteriores ou iguais a 1.8.69. A correção foi implementada na versão 1.8.69.
CVE-2026-33735 afeta o MyTube, um software auto-hospedado para baixar e reproduzir vídeos de várias plataformas. A vulnerabilidade reside no endpoint /api/settings/import-database, onde uma omissão de autorização foi descoberta. Isso permite que atacantes com credenciais de baixo privilégio carreguem e substituam completamente o banco de dados SQLite do aplicativo. O impacto é grave, pois um atacante pode comprometer totalmente o aplicativo, obtendo acesso a dados confidenciais, modificando configurações e, potencialmente, executando código malicioso. A vulnerabilidade não se limita a este endpoint; pode ser explorada em outras rotas POST que não implementem uma validação de autorização adequada. A gravidade desta falha reside na facilidade com que um atacante pode obter controle total sobre o sistema MyTube.
A exploração do CVE-2026-33735 requer acesso ao aplicativo MyTube e credenciais de usuário com privilégios mínimos. Um atacante pode enviar uma solicitação POST para o endpoint /api/settings/import-database com um banco de dados SQLite malicioso. Devido à omissão de autorização, o aplicativo aceitará o banco de dados fornecido, substituindo o existente. Este ataque é relativamente simples de executar e pode ser automatizado. A falta de validação de entrada em rotas POST semelhantes aumenta o risco de exploração. A natureza auto-hospedada do MyTube significa que a segurança depende fortemente da configuração e manutenção do usuário, o que pode aumentar a probabilidade desta vulnerabilidade permanecer sem correção.
Self-hosted MyTube users are at significant risk, particularly those who have not implemented strong access controls or are running older, vulnerable versions. Shared hosting environments where multiple users share a single MyTube instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of the entire application.
• sqlite / server:
sqlite3 /path/to/MyTube/database.db "SELECT sql FROM sqlite_master WHERE type='table' AND name='users';"• generic web:
curl -I http://your-mytube-instance/api/settings/import-database(Check for 200 OK response with low-privilege user) • linux / server:
journalctl -u mytube | grep -i "import-database"(Look for unusual activity related to database imports)
disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
A solução para CVE-2026-33735 é atualizar o MyTube para a versão 1.8.69 ou superior. Esta versão inclui uma correção que mitiga a omissão de autorização no endpoint /api/settings/import-database e em outras rotas POST suscetíveis. A aplicação imediata desta atualização é recomendada para proteger sua instância do MyTube. Além disso, revise a configuração de segurança do seu aplicativo, garantindo que as credenciais do usuário sejam gerenciadas com segurança e que controles de acesso apropriados sejam implementados para restringir o acesso a funções críticas. Monitorar os logs do aplicativo em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Atualize o MyTube para a versão 1.8.69 ou posterior. Esta versão corrige a vulnerabilidade de controle de acesso que permite a manipulação do banco de dados. A atualização impedirá que invasores com baixos privilégios comprometam o aplicativo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador para uma vulnerabilidade de segurança no MyTube que permite que atacantes substituam o banco de dados do aplicativo.
Atualize para a versão 1.8.69 ou superior imediatamente.
Sim, a exploração é relativamente simples e pode ser automatizada.
Outras rotas POST que não implementam uma validação de autorização adequada podem ser suscetíveis.
Consulte a documentação oficial do MyTube e as fontes de informação sobre segurança cibernética.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.