Movary में `?categoryCreated=` पैरामीटर के साथ क्रॉस-साइट स्क्रिप्टिंग (Cross-site Scripting) की भेद्यता

यह XSS भेद्यता हमलावरों को Movary एप्लिकेशन का उपयोग करने वाले उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। हमलावर कुकीज़ चुरा सकते हैं, संवेदनशील जानकारी प्राप्त कर सकते हैं, या उपयोगकर्ताओं को फ़िशिंग वेबसाइटों पर रीडायरेक्ट कर सकते हैं। चूंकि Movary का उपयोग फिल्मों को ट्रैक करने और रेटिंग देने के लिए किया जाता है, इसलिए हमलावर व्यक्तिगत फिल्म देखने के इतिहास और अन्य व्यक्तिगत डेटा तक पहुंच प्राप्त कर सकते हैं। इस भेद्यता का सफलतापूर्वक शोषण करने से उपयोगकर्ता के खाते का पूर्ण नियंत्रण हमलावर के हाथ में आ सकता है, जिससे डेटा उल्लंघन और गोपनीयता का गंभीर नुकसान हो सकता है।

Users of Movary versions prior to 0.70.0 are at risk, particularly those who frequently interact with the application's category creation features. Shared hosting environments where multiple users share the same Movary instance are also at increased risk, as a compromise of one user could potentially affect others.

1. 2026-01-19Disclosure

   disclosure

1. आरक्षित2026-01-16
2. प्रकाशित2026-01-19
3. संशोधित2026-01-20
4. EPSS अद्यतन2026-03-23

Movary के संस्करण 0.70.0 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करने में समस्या आ रही है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके ?categoryCreated= पैरामीटर के लिए इनपुट सत्यापन को कड़ा किया जा सकता है। यह सुनिश्चित करें कि सभी इनपुट को ठीक से सैनिटाइज किया गया है और दुर्भावनापूर्ण वर्णों को हटाया गया है। इसके अतिरिक्त, Movary के कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि कोई भी असुरक्षित सेटिंग्स मौजूद नहीं हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, ?categoryCreated= पैरामीटर में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने का प्रयास करके।