CVE-2026-33890 in MyTube
要約
〜によって VulDB • 2026年06月01日
MyTubeは、複数の動画サイト向けのセルフホスト型ダウンローダーおよびプレイヤーです。バージョン1.8.71より前では、認証されていない攻撃者が任意のパスキーを登録し、その後でそれを使用して認証することで、完全な管理者セッションを取得することができます。本アプリケーションは、事前の認証を必要とせずにパスキー登録エンドポイントを公開しています。正常に認証されたパスキーには自動的に管理者トークンが付与され、アプリケーションへの完全な管理者アクセスが許可されます。これにより、既存の資格情報を必要とせずにアプリケーションの完全な侵害が可能となります。この問題はバージョン1.8.71で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.