CVE-2026-23837 — 神龙十问 AI 深度分析摘要

🚨 **本质**：MyTube 的 `roleBasedAuthMiddleware` 存在逻辑缺陷，导致**身份验证可被绕过**。后果：未授权用户可直接访问后台，**修改应用设置**及受保护路由，彻底破坏应用安全性。

🔍 **CWE-863**：不正确的授权。缺陷点在于**中间件（Middleware）逻辑失效**。原本用于检查用户角色的认证层被绕过，导致权限控制形同虚设。

🎯 **受影响**：MyTube 软件。具体为 **v1.7.66 之前**的所有版本。开发者：franklioxygen（Peifan Li）。

💣 **黑客能力**：无需登录即可操作。可**读取/修改**敏感应用配置，访问受保护的路由接口。CVSS 评分极高（H/H/H），意味着机密性、完整性和可用性均受**严重**影响。

⚡ **门槛极低**。CVSS 向量显示：攻击向量网络（AV:N）、攻击复杂度低（AC:L）、**无需认证**（PR:N）、无需用户交互（UI:N）。小白也能利用。

🚫 **暂无公开 Exp**。数据中 `pocs` 为空，暂无已知在野利用报告。但鉴于利用门槛极低，**随时可能出现** PoC 代码。

🔎 **自查方法**：检查 MyTube 版本是否 < 1.7.66。尝试访问受保护的管理路由，观察是否返回 200 OK 而非 401/403。扫描工具可检测中间件绕过特征。

🛡️ **已修复**。官方发布了安全公告（GHSA-cmvj-g69f-8664）并提交了补丁代码（commit f85ae9b...）。**请升级至最新版本**。

🛑 **临时规避**：若无法升级，建议**暂时下线**该服务或将其置于**内网**隔离环境，严禁暴露于公网。配置 WAF 拦截对管理路由的未授权请求。

🔥 **非常紧急**。CVSS 满分风险（10.0），且无需认证即可利用。作为自托管视频服务，涉及用户隐私数据，建议**立即升级**或隔离。