Movary में `?categoryDeleted=` पैरामीटर के साथ क्रॉस-साइट स्क्रिप्टिंग (Cross-site Scripting) की भेद्यता

इस XSS भेद्यता का फायदा उठाकर, एक हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। यह कोड उपयोगकर्ता के कुकीज़ को चुरा सकता है, उन्हें फ़िशिंग वेबसाइटों पर रीडायरेक्ट कर सकता है, या उपयोगकर्ता की ओर से अन्य दुर्भावनापूर्ण क्रियाएं कर सकता है। चूंकि Movary एक मूवी ट्रैकिंग एप्लिकेशन है, इसलिए हमलावर उपयोगकर्ता की मूवी देखने की आदतों और व्यक्तिगत जानकारी तक पहुंच प्राप्त कर सकता है। यदि हमलावर Movary एप्लिकेशन के व्यवस्थापक खाते को नियंत्रित करने में सक्षम है, तो वे एप्लिकेशन के डेटाबेस को संशोधित कर सकते हैं या अन्य उपयोगकर्ताओं को लक्षित करने के लिए एप्लिकेशन का उपयोग कर सकते हैं। यह भेद्यता अन्य XSS भेद्यताओं के समान है, जहां हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण कोड निष्पादित करने के लिए ब्राउज़र-साइड कमजोरियों का फायदा उठाते हैं।

Organizations and individuals using Movary to track their movie history are at risk. This includes users who rely on the application for personal entertainment tracking and those who deploy Movary on shared hosting environments, where vulnerabilities can be more easily exploited due to limited control over the server configuration.

• javascript: Inspect the application's JavaScript code for instances where the ?categoryDeleted= parameter is used without proper sanitization. Look for functions that directly insert the parameter's value into the DOM without encoding. • generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the ?categoryDeleted= parameter. Example:

grep -i 'alert\(' /var/log/apache2/access.log

1. 2026-01-19Disclosure

   disclosure

1. आरक्षित2026-01-16
2. प्रकाशित2026-01-19
3. संशोधित2026-01-20
4. EPSS अद्यतन2026-03-23

CVE-2026-23840 के लिए प्राथमिक शमन उपाय Movary को संस्करण 0.70.0 या बाद के संस्करण में अपडेट करना है, जिसमें इस भेद्यता को ठीक किया गया है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग दुर्भावनापूर्ण स्क्रिप्ट को फ़िल्टर करने के लिए किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन को मजबूत करने के लिए Movary एप्लिकेशन के कोड में मैन्युअल परिवर्तन किए जा सकते हैं, लेकिन यह एक जटिल और त्रुटि-प्रवण प्रक्रिया हो सकती है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से सैनिटाइज और एस्केप किया गया है ताकि XSS हमलों को रोका जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, उदाहरण के लिए, ?categoryDeleted= पैरामीटर में एक साधारण XSS पेलोड का परीक्षण करके।