CVE-2026-33935 in MyTubeinformazioni

Riassunto

di VulDB • 15/06/2026

MyTube è un downloader e player self-hosted per diversi siti web di video. Prima della versione 1.8.72, un attaccante non autenticato può bloccare gli account degli amministratori e dei visitatori dall'autenticazione basata su password attivando tentativi di accesso falliti. L'applicazione espone tre endpoint di verifica della password, tutti pubblicamente accessibili. Tutti e tre gli endpoint condividono un singolo stato dei tentativi di login basato su file, memorizzato in `login-attempts.json`. Quando qualsiasi endpoint registra un tentativo di autenticazione fallito tramite `recordFailedAttempt()`, lo stato condiviso dei tentativi di login viene aggiornato, incrementando il contatore `failedAttempts` e regolando i timestamp associati e i valori del periodo di cooldown. Prima di verificare una password, ogni endpoint chiama `canAttemptLogin()`. Questa funzione controlla il file JSON condiviso per determinare se è attivo un periodo di cooldown. Se il cooldown non è scaduto, la richiesta viene rifiutata prima che la password venga convalidata. Poiché il contatore dei tentativi falliti e il timer del cooldown sono condivisi globalmente, i tentativi di autenticazione falliti contro qualsiasi endpoint influenzano tutti gli altri endpoint. Un attaccante può sfruttare questa vulnerabilità inviando ripetutamente richieste di autenticazione non valide a uno di questi endpoint, incrementando il contatore condiviso e attendendo il periodo di cooldown tra un tentativo e l'altro. In questo modo, l'attaccante può aumentare progressivamente la durata del blocco fino a raggiungere le 24 ore, impedendo efficacemente agli utenti legittimi di autenticarsi. Una volta raggiunto il massimo blocco, l'attaccante può mantenere indefinitamente una negazione di servizio attendendo che il cooldown scada e inviando un altro tentativo fallito, che attiva immediatamente un nuovo blocco di 24 ore se non si è verificato alcun accesso riuscito nel frattempo. La versione 1.8.72 risolve la vulnerabilità.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

24/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00543

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!