Peertube
Уязвимости
15
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.01213
Распределение по критичности
Критический
0
Высокий
4
Средний
11
Низкий
0
Также сопоставлено как (исходные строки): peertube
Топ уязвимостей
CVE-2025-32948Уязвимость позволяет любому злоумышленнику прекратить работу сервера PeerTube или в особых случаях отправлять запросы на произвольные URL-адреса (Blind SSRF). Злоумышленники могут отправлять действия ActivityPub на конечную точку «inbox» PeerTube. Злоупотребляя функциональностью «Создать активность», можно создать созданные плейлисты, которые вызовут либо отказ в обслуживании, либо слепой SSRF, контролируемый злоумышленником.
CVE-2025-32947Эта уязвимость позволяет любому злоумышленнику заставить сервер PeerTube перестать отвечать на запросы из-за бесконечного цикла в конечной точке «входного ящика» при получении созданных действий ActivityPub.
CVE-2022-0133peertube уязвим для Improper Access Control.
CVE-2022-0132peertube уязвим для Server-Side Request Forgery (SSRF).
CVE-2025-32949Эта уязвимость позволяет любому аутентифицированному пользователю заставлять сервер потреблять очень большие объемы дискового пространства при извлечении Zip-бомбы.
Если включен импорт пользователя (что является настройкой по умолчанию), любой зарегистрированный пользователь может загрузить архив для импорта. Код использует библиотеку язв для чтения архива. Библиотека Яузля не содержит какого-либо механизма для обнаружения или предотвращения извлечения Zip Bomb https://en.wikipedia.org/wiki/Zip_bomb . Поэтому при использовании функциональности User Import с помощью Zip Bomb PeerTube попытается извлечь архив, который вызовет истощение ресурса дискового пространства.
CVE-2025-32944Уязвимость позволяет любому аутентифицированному пользователю заставить сервер PeerTube перестать функционировать на постоянной основе. Если включен импорт пользователя (что является настройкой по умолчанию), любой зарегистрированный пользователь может загрузить архив для импорта. Код использует библиотеку язв для чтения архива. Если библиотека язв сталкивается с именем файла, которое считается незаконным, это вызывает исключение, которое не поймано PeerTube, что приводит к сбою, который бесконечно повторяется при запуске.
CVE-2022-0881Небезопасное хранение конфиденциальной информации в репозитории GitHub chocobozzz/peertube до версии 4.1.1.
CVE-2021-3780Peertube уязвим для неправильной нейтрализации ввода во время генерации веб-страницы ('Cross-site Scripting').
CVE-2022-0727Неправильный контроль доступа в репозитории GitHub chocobozzz/peertube до версии 4.1.0.
CVE-2022-0726Отсутствует авторизация в репозитории GitHub chocobozzz/peertube до версии 4.1.0.
CVE-2025-32946Эта уязвимость позволяет любому злоумышленнику добавлять плейлисты в другой канал пользователя, используя протокол ActivityPub. Уязвимый код устанавливает владельца нового плейлиста пользователем, выполнившим запрос, а затем устанавливает связанный канал на идентификатор канала, предоставленный запросом, без проверки, принадлежит ли он пользователю.
CVE-2022-0508Подделка запросов на стороне сервера (SSRF) в репозитории GitHub chocobozzz/peertube до f33e515991a32885622b217bf2ed1d1b0d9d6832.
CVE-2025-32945Уязвимость позволяет существующему пользователю добавлять плейлисты в другой канал пользователя с помощью API PeerTube REST. Уязвимый код устанавливает владельца нового плейлиста пользователем, выполнившим запрос, а затем устанавливает связанный канал на идентификатор канала, предоставленный запросом, без проверки, принадлежит ли он пользователю.
CVE-2025-32943Уязвимость позволяет любому аутентифицированному пользователю утечка содержимого произвольных файлов «.m3u8» с сервера PeerTube из-за обхода пути в конечную точку HLS.
CVE-2022-0170peertube уязвим для Improper Access Control.