Plataforma
other
Componente
movary
Corregido en
0.70.1
CVE-2026-23841 describe una vulnerabilidad de Cross-Site Scripting (XSS) en Movary, una aplicación web para rastrear y evaluar películas. Esta vulnerabilidad, causada por una validación insuficiente de la entrada, permite a atacantes inyectar scripts maliciosos. Afecta a versiones de Movary anteriores o iguales a 0.70.0. La versión 0.70.0 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través del parámetro ?categoryCreated=. Este código se ejecutará en el navegador de la víctima cuando visite la página afectada, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página web. El impacto puede ser significativo, comprometiendo la confidencialidad de la información del usuario y la integridad de la aplicación. La ejecución de scripts arbitrarios en el contexto del usuario puede llevar a la toma de control de la cuenta y el acceso a datos sensibles.
Este CVE fue publicado el 19 de enero de 2026. Actualmente no hay información disponible sobre una campaña de explotación activa o un Proof of Concept (PoC) público. La vulnerabilidad se considera de alta probabilidad de explotación debido a su simplicidad y el impacto potencial. Se recomienda monitorear la situación y aplicar la mitigación lo antes posible.
Users of Movary versions prior to 0.70.0 are at risk, particularly those who frequently interact with the application's category creation features. Shared hosting environments where multiple users share the same Movary instance are also at increased risk, as a compromise of one user could potentially affect others.
disclosure
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-23841 es actualizar Movary a la versión 0.70.0 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario en el lado del servidor y la codificación de la salida para prevenir la ejecución de scripts. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Verifique la actualización instalando la versión 0.70.0 y confirmando que el parámetro ?categoryCreated= ya no es vulnerable a la inyección de scripts.
Actualice Movary a la versión 0.70.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de Cross-site Scripting. La actualización se puede realizar a través de los canales de actualización provistos por el software.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23841 is a critical XSS vulnerability in Movary versions before 0.70.0, allowing attackers to inject malicious scripts via the ?categoryCreated= parameter.
Yes, if you are using Movary version 0.70.0 or earlier, you are vulnerable to this XSS attack.
Upgrade Movary to version 0.70.0 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation.
Refer to the Movary project's official website or repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.