प्लेटफ़ॉर्म
nodejs
घटक
movary
में ठीक किया गया
0.71.2
Movary एक स्व-होस्टेड वेब ऐप है जिसका उपयोग उपयोगकर्ता द्वारा देखी गई फिल्मों को ट्रैक और रेट करने के लिए किया जाता है। इस भेद्यता के कारण, एक प्रमाणित उपयोगकर्ता अनधिकृत रूप से उपयोगकर्ता प्रबंधन एंडपॉइंट तक पहुंच सकता है, जिससे सभी उपयोगकर्ताओं को सूचीबद्ध करना और एक नया व्यवस्थापक खाता बनाना संभव हो जाता है। यह समस्या Movary के संस्करण 0.0.0 से लेकर 0.71.0 तक के संस्करणों को प्रभावित करती है। संस्करण 0.71.1 में इस समस्या को ठीक किया गया है।
CVE-2026-40350 Movary को प्रभावित करता है, जो एक स्व-होस्टेड वेब ऐप है जो उपयोगकर्ताओं द्वारा देखे गए फिल्मों को ट्रैक और रेट करने के लिए है। संस्करण 0.71.1 से पहले, एक सामान्य प्रमाणित उपयोगकर्ता उपयोगकर्ता प्रबंधन एंडपॉइंट /settings/users तक पहुंच सकता है और उनका उपयोग सभी उपयोगकर्ताओं को सूचीबद्ध करने और एक नया व्यवस्थापक खाता बनाने के लिए कर सकता है। यह इसलिए होता है क्योंकि रूट परिभाषाएँ केवल व्यवस्थापक के लिए मध्यवर्ती लागू नहीं करती हैं, और नियंत्रक-स्तरीय प्राधिकरण जांच एक गलत बूलियन स्थिति का उपयोग करती है। नतीजतन, एक वैध वेब सत्र कुकी वाला कोई भी उपयोगकर्ता केवल व्यवस्थापकों के लिए अभिप्रेत कार्यों तक पहुंच सकता है। यह एक हमलावर को एप्लिकेशन पर व्यवस्थापकीय नियंत्रण प्राप्त करने की अनुमति देता है, जिससे संभावित रूप से उपयोगकर्ता डेटा और सिस्टम अखंडता से समझौता हो सकता है। उपयोगकर्ता की सूचीकरण आगे के हमलों के लिए संभावित लक्ष्यों को उजागर करता है, जबकि व्यवस्थापक खाते का निर्माण पूर्ण पहुंच प्रदान करता है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को Movary में एक प्रमाणित उपयोगकर्ता के लिए एक वैध वेब सत्र कुकी की आवश्यकता होती है। फिर, हमलावर सभी उपयोगकर्ताओं को सूचीबद्ध करने और एक नया व्यवस्थापक खाता बनाने के लिए /settings/users एंडपॉइंट तक पहुंच सकता है। शोषण की जटिलता कम है, क्योंकि उन्नत तकनीकी कौशल की आवश्यकता नहीं है। वैध सत्र कुकी के अलावा किसी भी विशेष प्रमाणीकरण की कमी के कारण शोषण की संभावना अधिक है। सत्र कुकी साझा या पुन: उपयोग किए जाने वाले वातावरण में यह भेद्यता विशेष रूप से चिंताजनक है।
Self-hosted Movary installations are at the highest risk, particularly those with limited security monitoring or outdated configurations. Users who have not implemented strong password policies or multi-factor authentication are also at increased risk, as a compromised user account could be leveraged to exploit this vulnerability.
• nodejs / server:
grep -r 'settings/users' /path/to/movary/routes/*.js | grep -i 'admin'• generic web:
curl -I http://your-movary-instance/settings/users
# Check for 200 OK response, indicating access is not restricteddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (14% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40350 के लिए समाधान Movary को संस्करण 0.71.1 या बाद में अपडेट करना है। यह संस्करण उपयोगकर्ता प्रबंधन एंडपॉइंट पर केवल व्यवस्थापक के लिए मध्यवर्ती को ठीक से लागू करके और नियंत्रक-स्तरीय प्राधिकरण जांच में गलत बूलियन स्थिति को ठीक करके भेद्यता को ठीक करता है। शोषण के जोखिम को कम करने के लिए नवीनतम संस्करण में अपडेट करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, अपडेट से पहले किसी भी संदिग्ध गतिविधि के लिए ऑडिट लॉग की समीक्षा करें। सुनिश्चित करें कि सभी व्यवस्थापक खातों में मजबूत और अद्वितीय पासवर्ड हैं।
Actualice Movary a la versión 0.71.1 o superior para corregir la vulnerabilidad de bypass de autorización. Esta actualización implementa una verificación de autorización adecuada para restringir el acceso a las funciones de administración solo a usuarios con privilegios administrativos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Movary एक स्व-होस्टेड वेब एप्लिकेशन है जो उपयोगकर्ताओं को उन फिल्मों को ट्रैक और रेट करने की अनुमति देता है जिन्हें उन्होंने देखा है।
यह अपडेट एक भेद्यता को संबोधित करता है जो गैर-व्यवस्थापक उपयोगकर्ताओं को व्यवस्थापक खाते बनाने की अनुमति देता है, जिससे संभावित रूप से एप्लिकेशन की सुरक्षा से समझौता हो सकता है।
Movary डेवलपर द्वारा दिए गए अपडेट निर्देशों का पालन करके संस्करण 0.71.1 या बाद में अपडेट करें।
तुरंत सभी व्यवस्थापक खातों के पासवर्ड बदलें, संदिग्ध गतिविधि के लिए ऑडिट लॉग की जांच करें और किसी विश्वसनीय स्रोत से एप्लिकेशन को फिर से स्थापित करने पर विचार करें।
नहीं, अपडेट के लिए कोई व्यवहार्य विकल्प नहीं है। वर्कअराउंड बहुत जटिल होंगे और नए भेद्यताएं पेश कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।