Katalog CVE

CVE-2026-57946

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w Invidious przed wersją 2.20260626.0 umożliwia nieuwierzytelnionym atakującym odczytanie zawartości prywatnych playlist poprzez endpoint RSS feed. Atakujący może podać identyfikator playlisty, aby uzyskać pełną listę filmów, adres e-mail właściciela oraz powiązane wpisy wideo bez żadnego uwierzytelnienia.

Ocena ryzyka

Ryzyko polega na ujawnieniu poufnych danych użytkowników, w tym adresów e-mail oraz zawartości prywatnych playlist, co może prowadzić do naruszenia prywatności i potencjalnych ataków socjotechnicznych.

Rekomendacja

Należy natychmiast zaktualizować Invidious do wersji 2.20260626.0 lub nowszej, która zawiera poprawkę usuwającą lukę w kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

Invidious before version 2.20260626.0 contains a broken access control vulnerability that allows unauthenticated attackers to retrieve private playlist contents by accessing the RSS feed playlist endpoint without authentication. Attackers can supply a playlist ID to the feed endpoint to obtain the full playlist contents, owner email address, and associated video entries without any authentication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS