CVE-2026-33935 in MyTubeالمعلومات

الملخص

بحسب VulDB • 24/05/2026

MyTube هو أداة تحميل وتشغيل فيديو مستضافة ذاتيًا لمواقع فيديو متعددة. قبل الإصدار 1.8.72، يمكن لمهاجم غير مصادق عليه حظر حسابات المسؤول والزوار عن طريق منع المصادقة القائمة على كلمة المرور من خلال إحداث محاولات تسجيل دخول فاشلة. تعرض التطبيق ثلاث نقاط نهاية للتحقق من كلمة المرور، وهي جميعها متاحة للعامة. تشترك جميع نقاط النهاية الثلاث في حالة واحدة لمحاولات تسجيل الدخول مدعومة بملف، مخزنة في `login-attempts.json`. عند تسجيل أي نقطة نهاية لمحاولة مصادقة فاشلة عبر `recordFailedAttempt()`، يتم تحديث حالة محاولة تسجيل الدخول المشتركة، مما يزيد من عداد `failedAttempts` ويعدل الطوابع الزمنية المرتبطة وقيم فترة الانتظار (cooldown). قبل التحقق من كلمة المرور، تستدعي كل نقطة نهاية الدالة `canAttemptLogin()`. تتحقق هذه الدالة من ملف JSON المشترك لتحديد ما إذا كانت فترة انتظار نشطة. إذا لم تنتهِ فترة الانتظار، يتم رفض الطلب قبل التحقق من صحة كلمة المرور. وبما أن عداد المحاولات الفاشلة ومؤقت فترة الانتظار يتم مشاركتهما عالميًا، فإن محاولات المصادقة الفاشلة ضد أي نقطة نهاية تؤثر على جميع نقاط النهاية الأخرى. يمكن للمهاجم استغلال هذا الوضع من خلال إرسال طلبات مصادقة غير صالحة بشكل متكرر إلى أي من هذه النقاط النهائية، مما يزيد من العداد المشترك وينتظر فترة الانتظار بين المحاولات. من خلال ذلك، يمكن للمهاجم زيادة مدة الحظر تدريجيًا حتى تصل إلى 24 ساعة، مما يمنع بشكل فعال المستخدمين الشرعيين من المصادقة. بمجرد الوصول إلى حد الحظر الأقصى، يمكن للمهاجم الحفاظ على حالة رفض الخدمة بشكل لا نهائي من خلال انتظار انتهاء فترة الانتظار وإرسال محاولة فاشلة أخرى، مما يؤدي فورًا إلى تفعيل حظر آخر لمدة 24 ساعة إذا لم تحدث عملية تسجيل دخول ناجحة في غضون ذلك. يصحح الإصدار 1.8.72 هذا الثغرة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

24/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353806

EPSS

0.00543

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!