【中危漏洞】CVE-2026-23848:MyTube X-Forwarded-For 头部绕过速率限制漏洞
漏洞概述
MyTube 是一个支持多平台视频网站的自托管下载与播放工具。在 1.7.71 版本之前,该系统存在一个安全缺陷:攻击者可通过伪造 X-Forwarded-For HTTP 请求头,绕过基于 IP 的 API 接口速率限制机制。此漏洞允许未认证攻击者对受保护的通用 API 端点发起大量请求,可能导致服务拒绝(DoS)或其他滥用行为。
漏洞详情
- CVE 编号:CVE-2026-23848
- 漏洞类型:通过
X-Forwarded-For头部绕过速率限制(CWE-807:依赖不受信任的输入进行安全关键决策) - CVSS 评分:6.5(中危),CVSS 向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L
- 影响版本:MyTube 1.7.71 之前的所有版本
影响范围
所有使用 MyTube 且版本低于 1.7.71 的自托管实例均受影响,特别是那些启用了基于客户端 IP 的速率限制策略的部署环境。
风险分析
由于系统未正确验证 X-Forwarded-For 头部的真实性,攻击者可任意伪造源 IP 地址,从而规避速率限制机制。这可能导致以下风险:
- 对 API 端点发起高频请求,造成资源耗尽或服务拒绝(DoS);
- 绕过登录尝试、下载请求等关键功能的频率控制,增加系统被滥用的风险;
- 在某些配置下,可能间接导致信息泄露(如通过暴力探测暴露用户行为或系统状态)。
修复建议
- 立即升级 MyTube 至 1.7.71 或更高版本,该版本已修复此漏洞;
- 若暂时无法升级,建议在反向代理(如 Nginx、Apache)层面严格校验并清除不可信来源的
X-Forwarded-For头部,仅允许可信代理设置该字段; - 避免直接依赖
X-Forwarded-For进行安全决策,应结合真实连接 IP 或使用可信中间件进行 IP 识别。
