プラットフォーム
other
コンポーネント
movary
修正版
0.70.1
CVE-2026-23841は、映画の視聴履歴を追跡、評価、探索するためのWebアプリケーションであるMovaryにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、バージョン0.70.0以前のMovaryに存在し、攻撃者が悪意のあるスクリプトを注入する可能性があります。脆弱性は?categoryCreated=パラメータの不適切な入力検証が原因で発生します。バージョン0.70.0へのアップデートでこの問題は修正されています。
このXSS脆弱性を悪用されると、攻撃者はユーザーがMovaryにアクセスした際に悪意のあるJavaScriptコードを実行できます。これにより、攻撃者はユーザーのセッションCookieを盗み、ユーザーになりすまして機密情報にアクセスしたり、ユーザーを悪意のあるWebサイトにリダイレクトしたりする可能性があります。Movaryは映画の視聴履歴を管理するアプリケーションであるため、この脆弱性はユーザーのプライバシーとセキュリティに深刻な影響を与える可能性があります。攻撃者は、ユーザーの視聴履歴を改ざんしたり、偽のレビューを投稿したりすることも可能です。
CVE-2026-23841は、2026年1月19日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVカタログへの登録状況は不明です。
Users of Movary versions prior to 0.70.0 are at risk, particularly those who frequently interact with the application's category creation features. Shared hosting environments where multiple users share the same Movary instance are also at increased risk, as a compromise of one user could potentially affect others.
disclosure
エクスプロイト状況
EPSS
0.15% (36% パーセンタイル)
CISA SSVC
CVSS ベクトル
Movaryのバージョン0.70.0以上にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートできない場合は、Webアプリケーションファイアウォール(WAF)を使用して、?categoryCreated=パラメータに対するXSS攻撃をブロックすることを検討してください。WAFのルールは、?categoryCreated=パラメータにJavaScriptコードが含まれている場合にリクエストをブロックするように設定できます。また、入力検証を強化し、?categoryCreated=パラメータに許可されていない文字が含まれていないことを確認することも重要です。アップデート後、アプリケーションの動作を検証し、XSS攻撃が成功しないことを確認してください。
Movary を 0.70.0 以降のバージョンにアップデートしてください。このバージョンにはクロスサイトスクリプティング (Cross-site Scripting) の脆弱性に対する修正が含まれています。アップデートは、ソフトウェアが提供するアップデートチャネルを通じて実行できます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-23841は、Movaryのバージョン0.70.0以前における?categoryCreated=パラメータの不適切な入力検証が原因で発生するクロスサイトスクリプティング(XSS)脆弱性です。攻撃者はこの脆弱性を悪用して、悪意のあるJavaScriptコードを実行できます。
Movaryのバージョン0.70.0以前を使用している場合は、この脆弱性の影響を受けています。バージョン0.70.0以上にアップデートすることを推奨します。
Movaryをバージョン0.70.0以上にアップデートしてください。アップデートできない場合は、WAFを使用して攻撃をブロックすることを検討してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
Movaryの公式アドバイザリは、MovaryのWebサイトまたはGitHubリポジトリで確認できます。