CVE-2026-33935 in MyTube정보

요약

\~에 의해 VulDB • 2026. 05. 24.

MyTube는 여러 비디오 웹사이트를 위한 자체 호스팅 다운로드 및 플레이어입니다. 버전 1.8.72 이전에서는 인증되지 않은 공격자가 실패한 로그인 시도를 유발하여 관리자 및 방문자 계정의 비밀번호 기반 인증에서 차단될 수 있습니다. 이 애플리케이션은 공개적으로 접근 가능한 세 가지 비밀번호 확인 엔드포인트를 노출합니다. 세 엔드포인트는 모두 `login-attempts.json`에 저장된 단일 파일 기반 로그인 시도 상태를 공유합니다. 어떤 엔드포인트에서도 `recordFailedAttempt()`를 통해 실패한 인증 시도가 기록되면, 공유된 로그인 시도 상태가 업데이트되어 `failedAttempts` 카운터가 증가하고 관련 타임스탬프 및 쿨다운 값이 조정됩니다. 비밀번호를 검증하기 전에 각 엔드포인트는 `canAttemptLogin()`을 호출합니다. 이 함수는 공유된 JSON 파일을 확인하여 쿨다운 기간이 활성화되어 있는지 여부를 판단합니다. 쿨다운이 만료되지 않은 경우, 비밀번호가 검증되기 전에 요청이 거부됩니다. 실패한 시도 카운터와 쿨다운 타이머가 전역적으로 공유되므로, 어떤 엔드포인트에 대한 실패한 인증 시도도 다른 모든 엔드포인트에 영향을 미칩니다. 공격자는 이러한 엔드포인트 중 하나로 무효한 인증 요청을 반복적으로 보내 공유 카운터를 증가시키고 시도 간 쿨다운 기간을 기다림으로써 이를 악용할 수 있습니다. 이를 통해 공격자는 잠금 기간이 24시간에 도달할 때까지 점진적으로 증가시켜 합법적인 사용자의 인증을 효과적으로 방지할 수 있습니다. 최대 잠금 기간에 도달하면, 공격자는 쿨다운이 만료될 때까지 기다렸다가 실패한 시도를 다시 보내어 그 사이에 성공적인 로그인이 발생하지 않은 경우 즉시 또 다른 24시간 잠금을 유발함으로써 서비스 거부(Denial of Service)를 무기한으로 유지할 수 있습니다. 버전 1.8.72는 이 취약점을 수정합니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 24.

모더레이션

수락

항목

VDB-353806

EPSS

0.00543

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!