V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-33935
CVE
Высокий

MyTube является самостояцирующим загрузчиком и плеером для нескольких видео-сайтов До того, как неаутентифицированный злоумышленник может б…

CVSS
7.7
Высокий
EPSS
0.01
p41
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

MyTube является самостояцирующим загрузчиком и плеером для нескольких видео-сайтов До того, как неаутентифицированный злоумышленник может блокировать учетные записи администратора и учетных записей посетителей из аутентификации на основе пароля, вызывая неудачные попытки входа в систему. Приложение выставляет три конечные точки проверки пароля, все из которых являются общедоступными. Все три конечные точки имеют одно основанное на файле состояние попытки входа, сохраненное в `login-attempts.json. Когда какая-либо конечная точка регистрирует неудачную попытку аутентификации через `recordFailedAttempt()`, общее состояние попытки входа обновляется, увеличивая счет "неудачные попытки" и корректируя соответствующие временные штампы и значения охлаждения. Перед верой в пароль каждая конечная точка звонит `canAttempTLogin()`. Эта функция проверяет общий файл JSON, чтобы определить, активен ли период восстановления. Если срок годности не истек, запрос отклоняется до того, как пароль будет подтвержден. Поскольку неудачный счетчик попыток и таймер охлаждения глобально распространены, неудачные попытки аутентификации против любой конечной точки влияют на все другие конечные точки. Нападающий может использовать это, неоднократно отправляя недействительные запросы на аутентификацию на любую из этих конечных точек, увеличивая общий счетчик и ожидая периода охлаждения между попытками. Поступая таким образом, злоумышленник может постепенно увеличивать продолжительность локаута до тех пор, пока она не достигнет 24 часов, эффективно предотвращая аутентификацию законных пользователей. Как только максимальный локаут будет достигнут, злоумышленник может поддерживать отказ в обслуживании на неопределенный срок, ожидая истечения срока окончания восстановления и отправив еще одну неудачную попытку, которая немедленно вызывает еще один 24-часовой локаут, если за это время не произошло успешного входа. Версия 1.8.72 исправляет уязвимость.

Теги · CWE
Без аутентификации
CWE-307
CAPEC-16
CAPEC-49
CAPEC-560
CAPEC-565
CAPEC-600
CAPEC-652
CAPEC-653
Затронутые продукты
Mytube < 1.8.72
Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: N
Отсутствует (N)
Целостность уязвимой системы
VI: N
Отсутствует (N)
Доступность уязвимой системы
VA: H
Высокое (H)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: P
Proof-of-Concept
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.005 · p41
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
mytube*Отслеживается