Plataforma
other
Componente
movary
Corregido en
0.70.1
CVE-2026-23839 describe una vulnerabilidad de Cross-Site Scripting (XSS) en Movary, una aplicación web para rastrear y evaluar películas. Esta vulnerabilidad, causada por una validación insuficiente de la entrada, permite a los atacantes inyectar scripts maliciosos. Afecta a versiones de Movary anteriores o iguales a 0.70.0. La versión 0.70.0 incluye una corrección para esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través del parámetro ?categoryUpdated=. Este código se ejecutará en el navegador de la víctima cuando acceda a la URL modificada, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página web. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial impacto en la confidencialidad y la integridad de los datos del usuario. La ejecución de scripts arbitrarios en el contexto del usuario puede llevar a la toma de control de la cuenta y el acceso a información sensible.
Este CVE fue publicado el 19 de enero de 2026. No se han reportado activamente campañas de explotación a la fecha, pero la naturaleza de XSS y la alta puntuación CVSS sugieren un riesgo significativo. No se ha añadido a KEV a la fecha. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Users of Movary versions prior to 0.70.0 are at risk, particularly those who rely on the application to manage sensitive movie data or who share their Movary accounts. Shared hosting environments where multiple users share the same Movary instance are also at increased risk, as a compromise of one user's account could potentially expose others.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-23839 es actualizar Movary a la versión 0.70.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario en el lado del servidor y el uso de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts desde fuentes no confiables. Monitorear los registros de acceso en busca de patrones sospechosos, como solicitudes con caracteres inusuales en el parámetro categoryUpdated=, también puede ayudar a detectar intentos de explotación.
Actualice Movary a la versión 0.70.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de Cross-site Scripting. La actualización se puede realizar descargando la última versión desde el sitio web oficial o utilizando el mecanismo de actualización incorporado en la aplicación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23839 is a critical XSS vulnerability in Movary versions before 0.70.0, allowing attackers to inject malicious scripts via the ?categoryUpdated= parameter.
Yes, if you are using Movary version 0.70.0 or earlier, you are vulnerable to this XSS attack. Upgrade immediately.
Upgrade Movary to version 0.70.0 or later to patch the vulnerability. Consider a WAF as a temporary mitigation if upgrading is not immediately possible.
While no active exploitation has been confirmed, the ease of exploitation makes it a likely target, and proactive mitigation is recommended.
Refer to the Movary project's official website or GitHub repository for the latest security advisories and release notes.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.