MyTube — это автономный загрузчик и проигрыватель для нескольких видеосайтов. До версии 1.8.71 злоумышленник, не прошедший проверку подлинности, мог зарегистрировать произвольный ключ доступа и впоследствии аутентифицироваться с его помощью для получения полного сеанса администратора. Приложение предоставляет конечные точки регистрации ключей доступа без необходимости предварительной аутентификации.
Любому успешно проверенному ключу доступа автоматически предоставляется токен администратора, предоставляющий полный административный доступ к приложению. Это позволяет полностью скомпрометировать приложение, не требуя каких-либо существующих учетных данных. Версия 1.8.71 устраняет проблему.
Показать оригинальное описание (EN)
MyTube is a self-hosted downloader and player for several video websites Prior to version 1.8.71, an unauthenticated attacker can register an arbitrary passkey and subsequently authenticate with it to obtain a full admin session. The application exposes passkey registration endpoints without requiring prior authentication. Any successfully authenticated passkey is automatically granted an administrator token, allowing full administrative access to the application. This enables a complete compromise of the application without requiring any existing credentials. Version 1.8.71 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0