Movary は `?categoryDeleted=` パラメータでクロスサイトスクリプティング (Cross-site Scripting) に脆弱です

このXSS脆弱性を悪用されると、攻撃者はユーザーのセッションを乗っ取ったり、機密情報を盗んだり、悪意のあるウェブサイトにリダイレクトしたりする可能性があります。Movaryのデータベースに保存されている映画の視聴履歴や評価などの個人情報が漏洩するリスクがあります。また、この脆弱性を利用して、他のシステムへの攻撃の足がかりにすることも考えられます。類似のXSS脆弱性は、ユーザーの信頼を損ない、広範囲な被害をもたらす可能性があります。

Organizations and individuals using Movary to track their movie history are at risk. This includes users who rely on the application for personal entertainment tracking and those who deploy Movary on shared hosting environments, where vulnerabilities can be more easily exploited due to limited control over the server configuration.

• javascript: Inspect the application's JavaScript code for instances where the ?categoryDeleted= parameter is used without proper sanitization. Look for functions that directly insert the parameter's value into the DOM without encoding. • generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the ?categoryDeleted= parameter. Example:

grep -i 'alert\(' /var/log/apache2/access.log

1. 2026-01-19Disclosure

   disclosure

1. 予約済み2026-01-16
2. 公開日2026-01-19
3. 更新日2026-01-20
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、Movaryをバージョン0.70.0にアップデートすることです。アップデートがすぐに利用できない場合は、ウェブアプリケーションファイアウォール（WAF）を使用して、?categoryDeleted=パラメータに対する悪意のある入力をブロックすることを検討してください。また、入力検証を強化し、サニタイズ処理を徹底することで、同様の脆弱性の発生を未然に防ぐことができます。アップデート後、Movaryのログを監視し、不審なアクティビティがないか確認してください。