CVE-2026-33935 in MyTube
要約
〜によって VulDB • 2026年05月10日
MyTubeは、複数の動画サイト向けのセルフホスト型ダウンローダーおよびプレイヤーです。バージョン1.8.72より前では、認証されていない攻撃者が、失敗したログイン試行を引き起こすことで、管理者およびビジターアカウントをパスワードベースの認証からロックアウトすることができます。本アプリケーションは、すべて公開アクセス可能な3つのパスワード検証エンドポイントを公開しています。これら3つのエンドポイントは、`login-attempts.json`に保存された単一のファイルバックアップされたログイン試行状態を共有しています。いずれかのエンドポイントが`recordFailedAttempt()`を介して失敗した認証試行を記録すると、共有のログイン試行状態が更新され、`failedAttempts`カウンターが増加し、関連するタイムスタンプとクールダウン値が調整されます。パスワードを検証する前に、各エンドポイントは`canAttemptLogin()`を呼び出します。この関数は、共有JSONファイルを確認してクールダウン期間がアクティブかどうかを判断します。クールダウンが期限切れになっていない場合、リクエストはパスワードが検証される前に拒否されます。失敗した試行カウンターとクールダウンタイマーがグローバルに共有されているため、いずれかエンドポイントに対する失敗した認証試行は、他のすべてのエンドポイントに影響を与えます。攻撃者は、これらのエンドポイントのいずれかに無効な認証リクエストを繰り返し送信し、共有カウンターを増加させ、試行間のクールダウン期間を待つことでこれを悪用できます。これにより、攻撃者はロックアウト期間を最大24時間まで段階的に延長し、結果として正当なユーザーの認証を事実上阻止することができます。最大ロックアウトに達すると、攻撃者は、クールダウンが期限切れになるのを待ち、その間に成功したログインが発生しなかった場合に直ちに別の24時間のロックアウトを引き起こす失敗した試行を再度送信することで、サービス拒否を無期限に維持できます。バージョン1.8.72はこの脆弱性を修正します。
VulDB is the best source for vulnerability data and more expert information about this specific topic.