CVE-2026-57946
NiskieCVSS 3.7Streszczenie
Podatność w Invidious przed wersją 2.20260626.0 umożliwia nieuwierzytelnionym atakującym odczytanie zawartości prywatnych playlist poprzez endpoint RSS feed. Atakujący może podać identyfikator playlisty, aby uzyskać pełną listę filmów, adres e-mail właściciela oraz powiązane wpisy wideo bez żadnego uwierzytelnienia.
Ocena ryzyka
Ryzyko polega na ujawnieniu poufnych danych użytkowników, w tym adresów e-mail oraz zawartości prywatnych playlist, co może prowadzić do naruszenia prywatności i potencjalnych ataków socjotechnicznych.
Rekomendacja
Należy natychmiast zaktualizować Invidious do wersji 2.20260626.0 lub nowszej, która zawiera poprawkę usuwającą lukę w kontroli dostępu.
Oryginalny opis (angielski, źródło NVD)
Invidious before version 2.20260626.0 contains a broken access control vulnerability that allows unauthenticated attackers to retrieve private playlist contents by accessing the RSS feed playlist endpoint without authentication. Attackers can supply a playlist ID to the feed endpoint to obtain the full playlist contents, owner email address, and associated video entries without any authentication.

