Plataforma
other
Componente
mytube
Corrigido em
1.8.73
CVE-2026-33935 descreve uma vulnerabilidade de negação de serviço (DoS) no MyTube. Um atacante não autenticado pode bloquear contas de administrador e visitantes, impedindo o acesso por meio de tentativas de login mal-sucedidas. A vulnerabilidade afeta versões do MyTube anteriores ou iguais à 1.8.72. A correção foi implementada na versão 1.8.72.
CVE-2026-33935 afeta o MyTube, um aplicativo auto-hospedado para download e reprodução de vídeos de vários sites. A vulnerabilidade permite que um atacante não autenticado bloqueie as contas de administradores e visitantes por meio de tentativas repetidas de login com falha. O MyTube expõe três pontos finais de verificação de senha, todos acessíveis publicamente. Esses pontos finais compartilham um único estado de tentativa de login baseado em arquivo, armazenado em login-attempts.json. Ao acionar um número suficiente de tentativas de autenticação com falha por meio de qualquer um desses pontos finais, um atacante pode atingir o limite de tentativas permitidas e efetivamente bloquear as contas, impedindo o acesso legítimo. A gravidade desta vulnerabilidade reside na facilidade com que um atacante pode interromper o serviço e negar o acesso a usuários legítimos, especialmente em ambientes onde a disponibilidade é crítica. A falta de autenticação necessária para acessar os pontos finais de verificação de senha é a causa raiz deste problema.
Um atacante pode explorar esta vulnerabilidade enviando uma série de solicitações de login com falha para qualquer um dos três pontos finais de verificação de senha expostos no MyTube. Nenhuma autenticação é necessária para realizar esses ataques, tornando-os fáceis de executar. O atacante precisa apenas de um script ou ferramenta para automatizar o envio de solicitações com senhas incorretas. Uma vez atingido o limite de tentativas de login com falha, as contas de administrador e visitante são bloqueadas. Este tipo de ataque é relativamente simples de executar e pode causar uma interrupção significativa do serviço. A falta de mecanismos de proteção adequados na versão vulnerável do MyTube torna a exploração trivial.
Organizations and individuals using self-hosted MyTube instances, particularly those running versions prior to 1.8.72, are at risk. Shared hosting environments where multiple users share a MyTube instance are particularly vulnerable, as an attacker could impact all users on the server.
disclosure
Status do Exploit
EPSS
0.39% (percentil 60%)
CISA SSVC
A solução para CVE-2026-33935 é atualizar o MyTube para a versão 1.8.72 ou posterior. Esta versão corrige a vulnerabilidade implementando medidas para proteger o arquivo login-attempts.json e limitar o número de tentativas de login com falha permitidas. É altamente recomendável aplicar esta atualização o mais rápido possível para mitigar o risco de bloqueio de contas. Além disso, é aconselhável revisar a configuração de segurança do MyTube, incluindo a implementação de políticas de senha robustas e o monitoramento dos logs de login em busca de atividades suspeitas. Considerar a implementação de autenticação multifator (MFA) pode fornecer uma camada adicional de segurança, embora não seja uma solução direta para esta vulnerabilidade específica. A atualização é a ação mais crítica para abordar este problema de segurança.
Actualice MyTube a la versión 1.8.72 o posterior. Esta versión corrige la vulnerabilidad de bloqueo de cuentas no autenticado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de segurança no MyTube que permite o bloqueio de contas.
Atualize para a versão 1.8.72 ou posterior.
Monitore os logs de login e considere políticas de senha mais fortes.
Não, nenhuma autenticação é necessária.
Não há uma solução alternativa direta; a atualização é a solução recomendada.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.