Plateforme
javascript
Composant
movary
Corrigé dans
0.70.1
La vulnérabilité CVE-2026-23840 est une faille de Cross-Site Scripting (XSS) affectant l'application web Movary, utilisée pour suivre et évaluer les films visionnés. Cette faille permet à un attaquant d'injecter et d'exécuter des scripts malveillants dans le navigateur d'autres utilisateurs. Elle concerne les versions de Movary antérieures à 0.70.0 et a été corrigée dans cette dernière version.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript arbitraire dans les pages web de Movary. Cela peut conduire au vol de cookies de session, à l'usurpation d'identité de l'utilisateur, à la redirection vers des sites malveillants ou à la modification du contenu affiché. L'attaquant peut potentiellement compromettre l'ensemble de l'application et accéder aux données sensibles des utilisateurs, telles que leurs listes de films visionnés et leurs évaluations. Le risque est amplifié si Movary est utilisé dans un contexte d'authentification, car l'attaquant pourrait voler les informations d'identification des utilisateurs.
La vulnérabilité a été rendue publique le 19 janvier 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature critique de la vulnérabilité XSS et sa facilité d'exploitation la rendent susceptible d'être ciblée. Il n'y a pas d'entrée dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Un Proof of Concept (PoC) public pourrait être publié à tout moment.
Organizations and individuals using Movary to track their movie history are at risk. This includes users who rely on the application for personal entertainment tracking and those who deploy Movary on shared hosting environments, where vulnerabilities can be more easily exploited due to limited control over the server configuration.
• javascript: Inspect the application's JavaScript code for instances where the ?categoryDeleted= parameter is used without proper sanitization. Look for functions that directly insert the parameter's value into the DOM without encoding.
• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the ?categoryDeleted= parameter. Example:
grep -i 'alert\(' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Movary vers la version 0.70.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à implémenter une validation stricte des entrées côté serveur pour le paramètre ?categoryDeleted=. Il est également recommandé de désactiver temporairement la fonctionnalité de suppression de catégories si cela est possible. En attendant la mise à jour, l'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les tentatives d'exploitation en filtrant les requêtes malveillantes.
Mettez à jour Movary à la version 0.70.0 ou supérieure. Cette version corrige la vulnérabilité de Cross-site Scripting (XSS) en validant correctement les entrées du paramètre `categoryDeleted`. La mise à jour empêchera les attaquants d'exécuter des scripts malveillants dans votre navigateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-23840 is a critical Cross-Site Scripting (XSS) vulnerability in Movary versions prior to 0.70.0, allowing attackers to inject malicious scripts.
You are affected if you are using Movary version 0.70.0 or earlier. Upgrade to 0.70.0 to mitigate the risk.
Upgrade Movary to version 0.70.0 or later. Consider a WAF rule to filter suspicious requests as a temporary measure.
There are no confirmed reports of active exploitation at this time, but the vulnerability's severity warrants immediate attention.
Refer to the Movary project's official website or GitHub repository for the latest security advisories and release notes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.