CVE-2026-33890是一个MyTube应用程序中的权限提升漏洞,存在于1.8.71之前的版本中。未经身份验证的攻击者可以通过注册任意密码密钥来获取管理员权限,从而完全控制应用程序。这可能导致数据泄露、服务中断或恶意代码执行。该漏洞影响MyTube 1.8.71之前的版本。此问题已在1.8.71版本中修复。
CVE-2026-33890 影响 MyTube,MyTube 是一个用于多个视频网站的自托管下载器和播放器。该漏洞允许未经验证的攻击者注册任意密码密钥,并随后使用该密码密钥进行身份验证以获取完整的管理员会话。这是因为应用程序在不要求任何先前身份验证的情况下公开了密码密钥注册端点。成功验证密码密钥后,将自动授予管理员令牌,从而启用对应用程序的完全管理员访问权限。影响是严重的,因为攻击者可以完全控制 MyTube 实例,可能泄露用户数据、修改配置,并利用服务器进行恶意目的。密码密钥注册缺乏身份验证是此严重漏洞的根本原因。
利用 CVE-2026-33890 相对简单。攻击者只需向密码密钥注册端点发送具有所选密码密钥的请求即可。注册密码密钥后,可以使用它来进行身份验证并获取管理员令牌。缺乏先前的身份验证使得即使是技术专长有限的攻击者也能够利用。利用的简易性增加了自动化攻击的风险,并增加了漏洞在现实世界中被利用的可能性。建议监控 MyTube 日志,以查找可疑的密码密钥注册尝试。
Self-hosted MyTube deployments are at risk, particularly those accessible from the public internet or untrusted networks. Users who have not implemented strong network segmentation or access controls are especially vulnerable. Shared hosting environments running MyTube are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
disclosure
漏洞利用状态
EPSS
0.27% (50% 百分位)
CISA SSVC
CVE-2026-33890 的解决方案是将 MyTube 更新到 1.8.71 或更高版本。此版本通过实施密码密钥注册所需的身份验证来修复漏洞。此外,建议审查和审核 MyTube 的配置,以确保遵循安全最佳实践。如果无法立即更新,建议限制对应用程序的访问并监控可疑活动。及时应用此更新对于保护 MyTube 实例免受潜在攻击至关重要。更新是减轻此风险的最有效方法。
Actualice MyTube a la versión 1.8.71 o posterior. Esta versión corrige la vulnerabilidad que permite a atacantes no autenticados obtener privilegios de administrador. La actualización previene el acceso no autorizado y la posible manipulación de la aplicación.
漏洞分析和关键警报直接发送到您的邮箱。
MyTube 是一个用于多个视频网站的自托管下载器和播放器。
1.8.71 版本修复了 CVE-2026-33890,该漏洞允许攻击者在未经身份验证的情况下获得管理员访问权限。
限制对应用程序的访问并监控可疑活动。
检查 MyTube 日志,查找可疑的密码密钥注册尝试和异常的管理员活动。
目前没有特定的工具,但建议进行定期的安全审计和应用程序日志监控。