MyTube 存在通过 Passkey 注册实现的未经验证的管理员权限提升漏洞

MyTube 是一个用于多个视频网站的自托管下载器和播放器。在 1.8.71 版本之前，未经身份验证的攻击者可以注册任意 passkey，然后使用它进行身份验证，从而获得完整的管理员会话。该应用程序公开了 passkey 注册端点，而无需事先进行身份验证。任何成功通过身份验证的 passkey 都会自动被授予管理员令牌，从而允许对应用程序进行完全的管理员访问。这使得在不需要任何现有凭据的情况下，可以完全入侵该应用程序。1.8.71 版本修复了此问题。