CVE-2026-33935 in MyTubeinformação

Sumário

de VulDB • 24/05/2026

MyTube é um downloader e player auto-hospedado para vários sites de vídeo. Antes da versão 1.8.72, um atacante não autenticado pode bloquear as contas de administrador e visitante da autenticação baseada em senha ao acionar tentativas de login falhas. O aplicativo expõe três endpoints de verificação de senha, todos publicamente acessíveis. Os três endpoints compartilham um único estado de tentativas de login baseado em arquivo, armazenado em `login-attempts.json`. Quando qualquer endpoint registra uma tentativa de autenticação falha via `recordFailedAttempt()`, o estado compartilhado de tentativas de login é atualizado, aumentando o contador `failedAttempts` e ajustando os timestamps e valores de cooldown associados. Antes de verificar uma senha, cada endpoint chama `canAttemptLogin()`. Esta função verifica o arquivo JSON compartilhado para determinar se um período de cooldown está ativo. Se o cooldown não tiver expirado, a solicitação é rejeitada antes que a senha seja validada. Como o contador de tentativas falhas e o temporizador de cooldown são compartilhados globalmente, tentativas de autenticação falhas contra qualquer endpoint afetam todos os outros endpoints. Um atacante pode explorar isso enviando repetidamente solicitações de autenticação inválidas para qualquer um desses endpoints, incrementando o contador compartilhado e aguardando o período de cooldown entre as tentativas. Ao fazer isso, o atacante pode aumentar progressivamente a duração do bloqueio até atingir 24 horas, impedindo efetivamente que usuários legítimos se autentiquem. Uma vez atingido o bloqueio máximo, o atacante pode manter a negação de serviço indefinidamente, aguardando o cooldown expirar e enviando outra tentativa falha, o que imediatamente aciona outro bloqueio de 24 horas se nenhum login bem-sucedido ocorreu no intervalo. A versão 1.8.72 corrige a vulnerabilidade.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

24/03/2026

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353806

CPE

pronto

EPSS

0.00543

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!