Plataforma
other
Componente
mytube
Corrigido em
1.8.72
A vulnerabilidade CVE-2026-33890 afeta o MyTube, um gerenciador de downloads e reprodução de vídeos. Essa falha permite que um invasor não autenticado registre uma chave de acesso arbitrária e obtenha uma sessão de administrador completa. As versões afetadas são as anteriores ou iguais a 1.8.71. A correção está disponível na versão 1.8.71, que corrige a falha de segurança.
CVE-2026-33890 afeta o MyTube, um downloader e player auto-hospedado para vários sites de vídeo. A vulnerabilidade permite que um atacante não autenticado registre uma chave de acesso arbitrária e, posteriormente, se autentique com ela para obter uma sessão de administrador completa. Isso ocorre porque o aplicativo expõe pontos finais de registro de chaves de acesso sem exigir autenticação prévia. Após a autenticação bem-sucedida de uma chave de acesso, um token de administrador é concedido automaticamente, permitindo acesso administrativo completo ao aplicativo. O impacto é crítico, pois um atacante pode obter controle total da instância do MyTube, comprometendo potencialmente dados de usuários, modificando configurações e utilizando o servidor para fins maliciosos. A falta de autenticação para o registro de chaves de acesso é a causa raiz desta grave vulnerabilidade.
A exploração do CVE-2026-33890 é relativamente direta. Um atacante pode simplesmente enviar uma solicitação para o ponto final de registro de chaves de acesso com uma chave de acesso escolhida. Uma vez que a chave de acesso seja registrada, ela pode ser usada para autenticar e obter um token de administrador. A falta de autenticação prévia torna a exploração acessível mesmo para atacantes com conhecimento técnico limitado. A facilidade de exploração aumenta o risco de ataques automatizados e a probabilidade de a vulnerabilidade ser explorada na natureza. Recomenda-se monitorar os logs do MyTube para tentativas suspeitas de registro de chaves de acesso.
Self-hosted MyTube deployments are at risk, particularly those accessible from the public internet or untrusted networks. Users who have not implemented strong network segmentation or access controls are especially vulnerable. Shared hosting environments running MyTube are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
disclosure
Status do Exploit
EPSS
0.27% (percentil 50%)
CISA SSVC
A solução para CVE-2026-33890 é atualizar o MyTube para a versão 1.8.71 ou posterior. Esta versão corrige a vulnerabilidade implementando a autenticação necessária para o registro de chaves de acesso. Além disso, recomenda-se revisar e auditar a configuração do MyTube para garantir que as melhores práticas de segurança sejam seguidas. Se uma atualização imediata não for possível, é aconselhável limitar o acesso ao aplicativo e monitorar atividades suspeitas. Aplicar esta atualização prontamente é crucial para proteger sua instância do MyTube de possíveis ataques. A atualização é a forma mais eficaz de mitigar este risco.
Atualize o MyTube para a versão 1.8.71 ou posterior. Esta versão corrige a vulnerabilidade que permite que invasores não autenticados obtenham privilégios de administrador. A atualização impede o acesso não autorizado e a possível manipulação do aplicativo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
MyTube é um downloader e player auto-hospedado para vários sites de vídeo.
A versão 1.8.71 corrige o CVE-2026-33890, que permite que um atacante obtenha acesso de administrador sem autenticação.
Limite o acesso ao aplicativo e monitore atividades suspeitas.
Revise os logs do MyTube para tentativas suspeitas de registro de chaves de acesso e atividades administrativas incomuns.
Atualmente, não existem ferramentas específicas, mas auditorias de segurança regulares e monitoramento de logs do aplicativo são recomendados.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.