Plateforme
php
Composant
movary
Corrigé dans
0.71.2
Movary est une application web auto-hébergée permettant de suivre et de noter les films regardés par un utilisateur. Avant la version 0.71.1, une vulnérabilité SSRF permettait à un utilisateur authentifié de déclencher des requêtes vers des cibles internes arbitraires via l'endpoint /settings/jellyfin/server-url-verify. Cette faille peut être exploitée pour sonder le réseau interne et potentiellement accéder à des ressources sensibles. La version 0.71.1 corrige cette vulnérabilité.
CVE-2026-40348 affecte Movary, une application web auto-hébergée pour suivre et noter des films. La vulnérabilité réside dans le point de terminaison /settings/jellyfin/server-url-verify. Un utilisateur authentifié peut manipuler ce point de terminaison pour effectuer une falsification de requête côté serveur (SSRF) vers des cibles internes arbitraires. L'application construit une URL à partir de l'entrée utilisateur, ajoute /system/info/public et l'envoie via Guzzle. L'absence de validation des hôtes internes, des adresses de loopback ou des plages de réseau privé permet à un attaquant d'accéder à des informations sensibles ou d'exécuter même des commandes sur des systèmes internes, en fonction de la configuration et des autorisations du serveur. La sévérité CVSS est de 7,7, ce qui indique un risque élevé.
Un attaquant authentifié au sein de l'application Movary peut exploiter cette vulnérabilité en envoyant une URL malveillante au point de terminaison /settings/jellyfin/server-url-verify. Cette URL peut pointer vers n'importe quelle ressource interne au serveur, y compris les bases de données, les serveurs d'applications ou d'autres services. L'attaquant peut alors extraire des informations confidentielles ou même exécuter des commandes sur le système cible. L'absence de validation d'URL permet à l'attaquant de contourner les mesures de sécurité standard et d'accéder à des ressources qui seraient normalement protégées. La complexité de l'exploitation est faible, ne nécessitant que l'accès authentifié et la capacité d'envoyer une requête HTTP.
Organizations running Movary in environments with internal services accessible via HTTP/HTTPS are at risk. This includes deployments where Movary is used to manage media libraries and interact with Jellyfin or other internal media servers. Shared hosting environments where multiple users share the same Movary instance are particularly vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability.
• php: Examine Movary application logs for suspicious outbound HTTP requests to internal IP addresses or unusual domains. Use grep to search for patterns related to /settings/jellyfin/server-url-verify and internal URLs.
grep -r '/settings/jellyfin/server-url-verify' /var/log/apache2/access.log• generic web: Monitor web server access logs for requests to the /settings/jellyfin/server-url-verify endpoint originating from authenticated users. Look for unusual User-Agent strings or request headers.
curl -I http://movary.example.com/settings/jellyfin/server-url-verifydisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La correction de cette vulnérabilité consiste à mettre à jour Movary vers la version 0.71.1 ou ultérieure. Cette version implémente les corrections nécessaires pour empêcher les requêtes SSRF non autorisées. Les utilisateurs d'anciennes versions sont fortement encouragés à mettre à jour leurs installations Movary dès que possible. De plus, examinez votre configuration Jellyfin pour vous assurer qu'elle n'expose pas d'informations sensibles via /system/info/public. La mise en œuvre de pare-feu et de segmentation réseau peut également aider à atténuer l'impact d'une éventuelle exploitation. Surveillez régulièrement les journaux du serveur à la recherche d'activités suspectes, une bonne pratique de sécurité.
Mettez à jour Movary à la version 0.71.1 ou ultérieure pour atténuer la vulnérabilité SSRF. Cette version corrige le problème en restreignant les URL auxquelles le serveur peut accéder, évitant ainsi la possibilité d'effectuer des requêtes vers des destinations internes arbitraires.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de forcer un serveur à effectuer des requêtes HTTP vers des ressources auxquelles le serveur ne devrait pas avoir accès.
CVSS 7.7 indique un risque élevé. Cela signifie que la vulnérabilité est facilement exploitable et peut avoir un impact significatif sur la confidentialité, l'intégrité ou la disponibilité du système.
Si vous utilisez une version de Movary antérieure à 0.71.1, vous êtes affecté par cette vulnérabilité.
En attendant de pouvoir mettre à jour, envisagez de mettre en œuvre des règles de pare-feu pour restreindre l'accès aux ressources internes à partir de l'application Movary.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais des tests d'intrusion et des audits de sécurité réguliers sont recommandés.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.