Plataforma
javascript
Componente
movary
Corregido en
0.70.1
CVE-2026-23840 describe una vulnerabilidad de Cross-Site Scripting (XSS) en Movary, una aplicación web para rastrear y evaluar películas. Esta vulnerabilidad, causada por una validación insuficiente de la entrada, permite a los atacantes inyectar código malicioso en versiones anteriores a la 0.70.0. La versión 0.70.0 incluye una corrección para esta vulnerabilidad, abordando el riesgo de ejecución de scripts no deseados.
La vulnerabilidad XSS en Movary permite a un atacante inyectar scripts maliciosos en la aplicación. Un atacante podría explotar esta vulnerabilidad para robar cookies de sesión de los usuarios, redirigirlos a sitios web maliciosos o modificar el contenido de la página web que ven los usuarios. Esto podría resultar en el robo de información personal, la suplantación de identidad o el compromiso completo de la cuenta del usuario. El parámetro ?categoryDeleted= es el punto de entrada para la inyección de código, lo que facilita la explotación para atacantes con conocimiento de la aplicación.
Este CVE fue publicado el 19 de enero de 2026. No se ha reportado explotación activa en campañas conocidas ni se encuentra en el KEV de CISA. Existe una probabilidad moderada de explotación debido a la naturaleza crítica de la vulnerabilidad y la facilidad de inyección de código. Se recomienda monitorear activamente los sistemas para detectar cualquier actividad sospechosa.
Organizations and individuals using Movary to track their movie history are at risk. This includes users who rely on the application for personal entertainment tracking and those who deploy Movary on shared hosting environments, where vulnerabilities can be more easily exploited due to limited control over the server configuration.
• javascript: Inspect the application's JavaScript code for instances where the ?categoryDeleted= parameter is used without proper sanitization. Look for functions that directly insert the parameter's value into the DOM without encoding.
• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the ?categoryDeleted= parameter. Example:
grep -i 'alert\(' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-23840 es actualizar Movary a la versión 0.70.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario en el lado del servidor y la codificación de la salida para prevenir la ejecución de scripts. Además, se pueden utilizar políticas de seguridad de contenido (CSP) para restringir las fuentes de scripts que se pueden ejecutar en la aplicación. Después de la actualización, verifique que la vulnerabilidad ya no sea explotable intentando inyectar un payload XSS simple en el parámetro ?categoryDeleted= y confirmando que el script no se ejecuta.
Actualice Movary a la versión 0.70.0 o superior. Esta versión corrige la vulnerabilidad de Cross-site Scripting (XSS) al validar correctamente las entradas del parámetro `categoryDeleted`. La actualización evitará que atacantes ejecuten scripts maliciosos en su navegador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23840 is a critical Cross-Site Scripting (XSS) vulnerability in Movary versions prior to 0.70.0, allowing attackers to inject malicious scripts.
You are affected if you are using Movary version 0.70.0 or earlier. Upgrade to 0.70.0 to mitigate the risk.
Upgrade Movary to version 0.70.0 or later. Consider a WAF rule to filter suspicious requests as a temporary measure.
There are no confirmed reports of active exploitation at this time, but the vulnerability's severity warrants immediate attention.
Refer to the Movary project's official website or GitHub repository for the latest security advisories and release notes.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.