CVE-2026-33935 in MyTube
Sumário
de VulDB • 24/05/2026
MyTube é um downloader e player auto-hospedado para vários sites de vídeo. Antes da versão 1.8.72, um atacante não autenticado pode bloquear as contas de administrador e visitante da autenticação baseada em senha ao acionar tentativas de login falhas. O aplicativo expõe três endpoints de verificação de senha, todos publicamente acessíveis. Os três endpoints compartilham um único estado de tentativas de login baseado em arquivo, armazenado em `login-attempts.json`. Quando qualquer endpoint registra uma tentativa de autenticação falha via `recordFailedAttempt()`, o estado compartilhado de tentativas de login é atualizado, aumentando o contador `failedAttempts` e ajustando os timestamps e valores de cooldown associados. Antes de verificar uma senha, cada endpoint chama `canAttemptLogin()`. Esta função verifica o arquivo JSON compartilhado para determinar se um período de cooldown está ativo. Se o cooldown não tiver expirado, a solicitação é rejeitada antes que a senha seja validada. Como o contador de tentativas falhas e o temporizador de cooldown são compartilhados globalmente, tentativas de autenticação falhas contra qualquer endpoint afetam todos os outros endpoints. Um atacante pode explorar isso enviando repetidamente solicitações de autenticação inválidas para qualquer um desses endpoints, incrementando o contador compartilhado e aguardando o período de cooldown entre as tentativas. Ao fazer isso, o atacante pode aumentar progressivamente a duração do bloqueio até atingir 24 horas, impedindo efetivamente que usuários legítimos se autentiquem. Uma vez atingido o bloqueio máximo, o atacante pode manter a negação de serviço indefinidamente, aguardando o cooldown expirar e enviando outra tentativa falha, o que imediatamente aciona outro bloqueio de 24 horas se nenhum login bem-sucedido ocorreu no intervalo. A versão 1.8.72 corrige a vulnerabilidade.
Once again VulDB remains the best source for vulnerability data.