MyTube is a self-hosted downloader and player for several video websites Prior to version 1.8.72, an unauthenticated attacker can lock out administrator and visitor accounts from password-based authentication by triggering failed login attempts. The application exposes three password verification endpoints, all of which are publicly accessible. All three endpoints share a single file-backed login attempt state stored in `login-attempts.json`. When any endpoint records a failed authentication attempt via `recordFailedAttempt()`, the shared login attempt state is updated, increasing the `failedAttempts` counter and adjusting the associated timestamps and cooldown values. Before verifying a password, each endpoint calls `canAttemptLogin()`. This function checks the shared JSON file to determine whether a cooldown period is active. If the cooldown has not expired, the request is rejected before the password is validated. Because the failed attempt counter and cooldown timer are globally shared, failed authentication attempts against any endpoint affect all other endpoints. An attacker can exploit this by repeatedly sending invalid authentication requests to any of these endpoints, incrementing the shared counter and waiting for the cooldown period between attempts. By doing so, the attacker can progressively increase the lockout duration until it reaches 24 hours, effectively preventing legitimate users from authenticating. Once the maximum lockout is reached, the attacker can maintain the denial of service indefinitely by waiting for the cooldown to expire and sending another failed attempt, which immediately triggers another 24-hour lockout if no successful login occurred in the meantime. Version 1.8.72 fixes the vulnerability.
CVE-2026-33935 is a critical account lockout vulnerability in MyTube versions prior to 1.8.72 that allows unauthenticated attackers to trigger indefinite denial of service by exploiting a shared login attempt counter across multiple authentication endpoints. An attacker can progressively lock out all administrator and visitor accounts for up to 24 hours by sending repeated failed login attempts, and maintain this lockout indefinitely by resetting the counter before it expires. This vulnerability is particularly dangerous for self-hosted deployments common in Saudi organizations where MyTube may be used for internal video management.
IMMEDIATE ACTIONS:
1. Identify all MyTube instances in your environment and document their versions
2. Implement network-level access controls to restrict authentication endpoints to trusted IP ranges only
3. Deploy rate limiting at the reverse proxy/WAF level to restrict failed login attempts (e.g., max 5 attempts per IP per 15 minutes)
4. Enable detailed logging of all authentication attempts including source IP, timestamp, and endpoint
5. Monitor login-attempts.json file for suspicious patterns (rapid increments in failedAttempts counter)
PATCHING GUIDANCE:
1. Upgrade all MyTube instances to version 1.8.72 or later immediately
2. Before patching, back up the login-attempts.json file
3. After patching, verify that per-endpoint login attempt tracking is functioning correctly
4. Test authentication from multiple endpoints to confirm independent lockout mechanisms
COMPENSATING CONTROLS (if immediate patching not possible):
1. Implement reverse proxy authentication (nginx/Apache) in front of MyTube with independent rate limiting per endpoint
2. Use Web Application Firewall (WAF) rules to detect and block rapid failed authentication patterns
3. Implement IP-based access restrictions allowing only authorized administrator IPs
4. Deploy SIEM rules to alert on: (a) More than 10 failed login attempts from single IP in 5 minutes, (b) Repeated failed attempts across multiple endpoints from same source
5. Configure automated response to block source IPs after threshold exceeded
DETECTION RULES:
1. Alert if login-attempts.json failedAttempts counter increases by >5 in 1 minute
2. Alert if cooldown duration reaches 24 hours (1440 minutes)
3. Alert on authentication requests from same IP to multiple endpoints within 30 seconds
4. Monitor for POST requests to /login, /admin-login, /visitor-login endpoints with invalid credentials from same source IP >3 times per minute
الإجراءات الفورية:
1. حدد جميع نسخ MyTube في بيئتك وقم بتوثيق إصداراتها
2. قم بتنفيذ عناصر تحكم الوصول على مستوى الشبكة لتقييد نقاط نهاية المصادقة على نطاقات IP موثوقة فقط
3. نشر تحديد معدل على مستوى الوكيل العكسي/WAF لتقييد محاولات تسجيل الدخول الفاشلة (على سبيل المثال، بحد أقصى 5 محاولات لكل IP لكل 15 دقيقة)
4. تفعيل تسجيل مفصل لجميع محاولات المصادقة بما في ذلك IP المصدر والطابع الزمني ونقطة النهاية
5. مراقبة ملف login-attempts.json للأنماط المريبة (زيادات سريعة في عداد failedAttempts)
إرشادات التصحيح:
1. قم بترقية جميع نسخ MyTube إلى الإصدار 1.8.72 أو أحدث على الفور
2. قبل التصحيح، قم بعمل نسخة احتياطية من ملف login-attempts.json
3. بعد التصحيح، تحقق من أن تتبع محاولات تسجيل الدخول لكل نقطة نهاية يعمل بشكل صحيح
4. اختبر المصادقة من نقاط نهاية متعددة للتأكد من آليات القفل المستقلة
عناصر التحكم التعويضية (إذا لم يكن التصحيح الفوري ممكناً):
1. قم بتنفيذ مصادقة الوكيل العكسي (nginx/Apache) أمام MyTube مع تحديد معدل مستقل لكل نقطة نهاية
2. استخدم قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن أنماط المصادقة الفاشلة السريعة وحظرها
3. تنفيذ قيود الوصول القائمة على IP للسماح فقط بـ IPs المسؤول المصرح
4. نشر قواعد SIEM للتنبيه على: (أ) أكثر من 10 محاولات تسجيل دخول فاشلة من IP واحد في 5 دقائق، (ب) محاولات فاشلة متكررة عبر نقاط نهاية متعددة من نفس المصدر
5. تكوين الاستجابة الآلية لحظر IPs المصدر بعد تجاوز الحد الأدنى
قواعد الكشف:
1. تنبيه إذا زاد عداد failedAttempts في login-attempts.json بأكثر من 5 في دقيقة واحدة
2. تنبيه إذا وصلت مدة الانتظار إلى 24 ساعة (1440 دقيقة)
3. تنبيه على طلبات المصادقة من نفس IP إلى نقاط نهاية متعددة خلال 30 ثانية
4. مراقبة طلبات POST إلى نقاط نهاية /login و /admin-login و /visitor-login ببيانات اعتماد غير صحيحة من نفس IP المصدر أكثر من 3 مرات في الدقيقة