MyTube — это автономный загрузчик и проигрыватель для нескольких видеосайтов. До версии 1.8.69 обход авторизации в конечной точке `/api/settings/import-database` позволял злоумышленникам с низким уровнем привилегий загружать и полностью заменять базу данных SQLite приложения, что приводило к полной компрометации приложения. Обход актуален и для других маршрутов POST.
Версия 1.8.69 устраняет проблему.
Показать оригинальное описание (EN)
MyTube is a self-hosted downloader and player for several video websites Prior to version 1.8.69, an authorization bypass in the `/api/settings/import-database` endpoint allows attackers with low-privilege credentials to upload and replace the application's SQLite database entirely, leading to a full compromise of the application. The bypass is relevant for other POST routes as well. Version 1.8.69 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Franklioxygen Mytube
cpe:2.3:a:franklioxygen:mytube:*:*:*:*:*:*:*:*
|
— |
1.8.69
|