Vulnerabilidad en MyTube de franklioxygen (CVE-2026-23837)

MyTube es un descargador y reproductor autoalojado para varios sitios web de vídeo. Una vulnerabilidad presente en la versión 1.7.65 y potencialmente en versiones anteriores permite a los usuarios no autenticados eludir la comprobación de autenticación obligatoria en el roleBasedAuthMiddleware. Simplemente al no proporcionar una cookie de autenticación (haciendo que req.user sea indefinido), una solicitud se pasa incorrectamente a los manejadores posteriores. Todos los usuarios que ejecutan MyTube con loginEnabled: true se ven afectados. Esta falla permite a un atacante acceder y modificar la configuración de la aplicación a través de /API/settings, cambiar las contraseñas administrativas y de visitante, y acceder a otras rutas protegidas que dependen de este middleware específico. El problema está parcheado en la v1.7.66. Los mantenedores de MyTube recomiendan a todos los usuarios actualizar a la versión v1.7.64 como mínimo inmediatamente para asegurar sus instancias. La solución asegura que el middleware bloquea explícitamente las solicitudes si un usuario no está autenticado, en lugar de recurrir a next(). Aquellos que no puedan actualizar inmediatamente pueden mitigar el riesgo restringiendo el acceso a la red usando un cortafuegos o un proxy inverso (como Nginx) para restringir el acceso a los puntos finales /API/ solo a direcciones IP de confianza o, si se sienten cómodos editando el código fuente, aplicar un parche manualmente localizando roleBasedAuthMiddleware y asegurándose de que la lógica recurra a un error (401 Unauthorized) cuando req.user sea indefinido, en lugar de llamar a next().