CVE-2026-33935 是 MyTube 1.8.72 之前版本中存在的一个安全漏洞,该漏洞允许未经身份验证的攻击者通过恶意地触发大量失败的登录尝试,从而有效地锁定管理员和普通用户的账户,阻止他们通过密码进行身份验证。攻击者可以利用公开可访问的密码验证端点,这些端点共享一个存储在 login-attempts.json 文件中的登录尝试状态。该漏洞影响 MyTube 1.8.72 之前的版本。此问题已在 MyTube 1.8.72 版本中得到修复。
CVE-2026-33935 影响 MyTube,MyTube 是一个用于各种视频网站的自托管下载器和播放器。此漏洞允许未经身份验证的攻击者通过重复的登录失败尝试锁定管理员和访客帐户。MyTube 公开了三个密码验证端点,所有这些端点都可以公开访问。这些端点共享一个基于文件的登录尝试状态,存储在 login-attempts.json 中。通过触发任何一个端点的足够多的身份验证失败尝试,攻击者可以达到允许的尝试次数限制,从而有效地锁定帐户,防止合法访问。此漏洞的严重性在于攻击者可以轻松中断服务并拒绝合法用户访问的容易程度,尤其是在可用性至关重要的环境中。访问密码验证端点所需的身份验证缺失是此问题的根本原因。
攻击者可以通过向 MyTube 中公开的三个密码验证端点之一发送一系列失败的登录请求来利用此漏洞。执行这些攻击不需要身份验证,因此易于执行。攻击者只需要一个脚本或工具来自动发送带有错误密码的请求。达到失败的登录尝试限制后,管理员和访客帐户将被锁定。这种类型的攻击相对容易执行,并可能导致服务中断。MyTube 易受攻击版本的保护机制不足使得利用变得微不足道。
Organizations and individuals using self-hosted MyTube instances, particularly those running versions prior to 1.8.72, are at risk. Shared hosting environments where multiple users share a MyTube instance are particularly vulnerable, as an attacker could impact all users on the server.
disclosure
漏洞利用状态
EPSS
0.39% (60% 百分位)
CISA SSVC
解决 CVE-2026-33935 的方法是将 MyTube 更新到 1.8.72 或更高版本。此版本通过实施措施来保护 login-attempts.json 文件并限制允许的登录失败尝试次数来解决漏洞。强烈建议尽快应用此更新以降低帐户锁定的风险。此外,建议审查 MyTube 的安全配置,包括实施强大的密码策略并监控登录日志中的可疑活动。考虑实施多因素身份验证 (MFA) 可以提供额外的安全层,尽管它不是此特定漏洞的直接解决方案。更新是解决此安全问题的最关键措施。
Actualice MyTube a la versión 1.8.72 o posterior. Esta versión corrige la vulnerabilidad de bloqueo de cuentas no autenticado.
漏洞分析和关键警报直接发送到您的邮箱。
MyTube 中的安全漏洞,允许锁定帐户。
更新到 1.8.72 或更高版本。
监控登录日志并考虑更强的密码策略。
不,不需要身份验证。
没有直接的替代解决方案;更新是推荐的解决方案。