Plateforme
other
Composant
movary
Corrigé dans
0.70.1
La vulnérabilité CVE-2026-23841 est une faille de Cross-Site Scripting (XSS) affectant l'application web Movary, utilisée pour suivre et évaluer les films visionnés. Cette faille, due à une validation insuffisante des entrées, permet à un attaquant d'injecter des scripts malveillants. Elle concerne les versions de Movary antérieures à la version 0.70.0, et une correction a été déployée dans cette dernière.
Un attaquant exploitant cette vulnérabilité XSS peut exécuter du code JavaScript arbitraire dans le navigateur d'un utilisateur visitant une page vulnérable. Cela peut conduire au vol de cookies de session, permettant à l'attaquant de se faire passer pour l'utilisateur et d'accéder à ses données personnelles. L'attaquant pourrait également modifier le contenu de la page web, défigurant l'application ou affichant des informations trompeuses. Dans un contexte de partage d'informations sensibles via Movary, l'impact pourrait être significatif, incluant la compromission de données de suivi de films et d'évaluations personnelles.
La vulnérabilité CVE-2026-23841 a été divulguée publiquement le 19 janvier 2026. Aucune preuve d'exploitation active n'est actuellement disponible. Il n'y a pas d'entrée dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. L'absence de PoC publics rend l'exploitation moins probable, mais la sévérité élevée de la vulnérabilité justifie une attention particulière.
Users of Movary versions prior to 0.70.0 are at risk, particularly those who frequently interact with the application's category creation features. Shared hosting environments where multiple users share the same Movary instance are also at increased risk, as a compromise of one user could potentially affect others.
disclosure
Statut de l'Exploit
EPSS
0.15% (percentile 36%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Movary vers la version 0.70.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire pourrait consister à implémenter une validation stricte des entrées côté serveur pour le paramètre ?categoryCreated=, en s'assurant que seules les données attendues sont acceptées. Il est également recommandé de surveiller les logs d'accès pour détecter des tentatives d'injection de scripts et de configurer un Web Application Firewall (WAF) pour bloquer les requêtes suspectes. Après la mise à jour, vérifiez l'absence de scripts malveillants en accédant aux pages vulnérables et en inspectant le code source.
Mettez à jour Movary à la version 0.70.0 ou supérieure. Cette version contient la correction pour la vulnérabilité de Cross-site Scripting. La mise à jour peut être effectuée via les canaux de mise à jour fournis par le logiciel.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-23841 is a critical XSS vulnerability in Movary versions before 0.70.0, allowing attackers to inject malicious scripts via the ?categoryCreated= parameter.
Yes, if you are using Movary version 0.70.0 or earlier, you are vulnerable to this XSS attack.
Upgrade Movary to version 0.70.0 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation.
Refer to the Movary project's official website or repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.