CVE-2026-33735：MyTube <=1.8.69 数据库覆盖漏洞

CVE-2026-33735 影响 MyTube，MyTube 是一个用于多个视频网站的自托管下载器和播放器。漏洞存在于 /api/settings/import-database 端点中，其中发现了一个身份验证绕过。这使得低权限凭据的攻击者能够上传并完全替换应用程序的 SQLite 数据库。影响非常严重，因为攻击者可以完全破坏应用程序，访问敏感数据，修改配置，并可能执行恶意代码。此漏洞不限于此端点；它可能被利用于其他未实现适当身份验证验证的 POST 路由。此缺陷的严重性在于攻击者可以轻松获得对 MyTube 系统的完全控制权。

Self-hosted MyTube users are at significant risk, particularly those who have not implemented strong access controls or are running older, vulnerable versions. Shared hosting environments where multiple users share a single MyTube instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of the entire application.

• sqlite / server:

sqlite3 /path/to/MyTube/database.db "SELECT sql FROM sqlite_master WHERE type='table' AND name='users';"

• generic web:

curl -I http://your-mytube-instance/api/settings/import-database

(Check for 200 OK response with low-privilege user) • linux / server:

journalctl -u mytube | grep -i "import-database"

(Look for unusual activity related to database imports)

1. 2026-03-27Disclosure

   disclosure

1. 已保留2026-03-23
2. 发布日期2026-03-27
3. EPSS 更新日期2026-04-03

解决 CVE-2026-33735 的方法是将 MyTube 更新到 1.8.69 或更高版本。此版本包含一个修复程序，可减轻 /api/settings/import-database 端点和其他易受攻击的 POST 路由中的身份验证绕过。建议立即应用此更新以保护您的 MyTube 实例。此外，请审查应用程序的安全配置，确保用户凭据得到安全管理，并实施适当的访问控制以限制对关键功能的访问。监控应用程序日志以查找可疑活动也有助于检测和响应潜在攻击。