【高危漏洞】CVE-2026-23837:MyTube 身份验证绕过漏洞分析

漏洞概述

MyTube 是一个支持多平台视频网站的自托管下载与播放工具。在版本 1.7.65 及更早版本中,存在一个严重的身份验证绕过漏洞(CVE-2026-23837),攻击者可通过不提供认证 Cookie 的方式,使请求中的 req.userundefined,从而绕过基于角色的中间件 roleBasedAuthMiddleware 的强制认证检查,直接访问受保护的 API 接口。该漏洞影响所有启用了 loginEnabled: true 配置的 MyTube 实例,可能导致敏感信息泄露、配置篡改甚至完全控制应用。

漏洞详情

  • CVE 编号:CVE-2026-23837
  • 漏洞类型:身份验证绕过(CWE-863:授权机制不正确)
  • CVSS 评分:9.8(CRITICAL)
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • 影响版本:MyTube ≤ 1.7.65

影响范围

所有运行 MyTube 且配置了 loginEnabled: true 的用户均受影响,尤其是暴露在公网或未限制 API 访问权限的实例。攻击者可利用此漏洞访问 /api/settings 等受保护路由,修改系统设置、重置管理员及访客密码,并执行其他需认证的操作。

风险分析

由于该漏洞无需任何用户交互、无需认证即可远程利用,攻击复杂度极低,且可导致机密性、完整性与可用性全面受损(CIA 三要素均为 HIGH),属于严重安全风险。攻击者一旦利用成功,可完全接管 MyTube 实例,包括但不限于:

  • 读取或修改应用配置;
  • 重置任意用户密码;
  • 访问本应受权限控制的内部功能。

修复建议

  • 立即升级至 MyTube v1.7.66 或更高版本,该版本已修复中间件逻辑,确保当 req.user 未定义时返回 401 Unauthorized 而非继续执行;
  • 若无法立即升级,可采取以下临时缓解措施:
      • 通过防火墙或反向代理(如 Nginx)限制对 /api/ 路径的访问,仅允许可信 IP 地址;
      • 手动修改源码中的 roleBasedAuthMiddleware,将默认行为从调用 next() 改为返回 401 错误。

参考链接