Katalog CVE

CVE-2026-58447

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Podatność w Invidious do wersji 2.20260626.0 (załatana w commit 77ad416) pozwala uwierzytelnionym atakującym na usuwanie filmów z playlist innych użytkowników poprzez podanie dowolnego globalnego indeksu wideo w akcji remove_video. Atakujący mogą uzyskać wartości indeksów z publicznego API JSON playlist i przesłać je do punktu końcowego usuwania filmów bez weryfikacji własności, trwale usuwając filmy z playlist, których nie posiadają.

Ocena ryzyka

Ryzyko polega na możliwości trwałego usunięcia filmów z playlist innych użytkowników, co może prowadzić do utraty danych, zakłócenia działania serwisu i naruszenia zaufania użytkowników.

Rekomendacja

Należy natychmiast zaktualizować Invidious do wersji zawierającej commit 77ad416 lub nowszej, aby wyeliminować podatność związaną z uszkodzoną autoryzacją na poziomie obiektu.

Oryginalny opis (angielski, źródło NVD)

Invidious through 2.20260626.0, fixed in commit 77ad416, contains a broken object level authorization vulnerability that allows authenticated attackers to delete videos from other users' playlists by supplying an arbitrary global video index in the remove_video action of the playlist endpoint. Attackers can obtain per-video index values from the public playlist JSON API and submit them to the playlist video deletion endpoint without ownership validation, permanently removing videos from playlists they do not own.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS