Platform
javascript
Component
movary
Opgelost in
0.70.1
CVE-2026-23840 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in Movary, een webapplicatie voor het bijhouden en beoordelen van films. Door onvoldoende validatie van invoer kunnen aanvallers schadelijke scripts injecteren via de ?categoryDeleted= parameter. Deze kwetsbaarheid treft versies van Movary die lager zijn dan of gelijk aan 0.70.0. De kwetsbaarheid is verholpen in versie 0.70.0.
Deze XSS kwetsbaarheid stelt aanvallers in staat om willekeurige JavaScript code uit te voeren in de context van de gebruiker van Movary. Dit kan leiden tot accountovername, waarbij de aanvaller toegang krijgt tot de filmgeschiedenis en beoordelingen van het slachtoffer. Verder kan de aanvaller gevoelige informatie stelen, zoals cookies of sessie-ID's, en de gebruiker omleiden naar kwaadaardige websites. De impact is aanzienlijk, aangezien een succesvolle exploitatie kan leiden tot een compromis van de gebruikersaccount en de integriteit van de filmtracker.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 19 januari 2026. Er zijn momenteel geen publieke Proof-of-Concept (PoC) exploits beschikbaar, maar de ernst van de kwetsbaarheid (CRITICAL) en de potentiële impact suggereren dat exploitatie mogelijk is. Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid uitbuiten, maar het is raadzaam om de beveiliging te versterken om potentiële aanvallen te voorkomen.
Organizations and individuals using Movary to track their movie history are at risk. This includes users who rely on the application for personal entertainment tracking and those who deploy Movary on shared hosting environments, where vulnerabilities can be more easily exploited due to limited control over the server configuration.
• javascript: Inspect the application's JavaScript code for instances where the ?categoryDeleted= parameter is used without proper sanitization. Look for functions that directly insert the parameter's value into the DOM without encoding.
• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the ?categoryDeleted= parameter. Example:
grep -i 'alert\(' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-23840 is het upgraden van Movary naar versie 0.70.0 of hoger. Als een directe upgrade niet mogelijk is, kan het tijdelijk blokkeren van de ?categoryDeleted= parameter in een Web Application Firewall (WAF) of proxy een beperkte bescherming bieden. Controleer ook de code op andere potentiële XSS-kwetsbaarheden en implementeer robuuste invoervalidatie. Na de upgrade, verifieer de fix door een poging te doen om een XSS payload via de ?categoryDeleted= parameter te injecteren; deze poging zou nu moeten mislukken.
Werk Movary bij naar versie 0.70.0 of hoger. Deze versie corrigeert de Cross-site Scripting (XSS) kwetsbaarheid door de invoer van de `categoryDeleted` parameter correct te valideren. De update voorkomt dat aanvallers kwaadaardige scripts in uw browser kunnen uitvoeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23840 is a critical Cross-Site Scripting (XSS) vulnerability in Movary versions prior to 0.70.0, allowing attackers to inject malicious scripts.
You are affected if you are using Movary version 0.70.0 or earlier. Upgrade to 0.70.0 to mitigate the risk.
Upgrade Movary to version 0.70.0 or later. Consider a WAF rule to filter suspicious requests as a temporary measure.
There are no confirmed reports of active exploitation at this time, but the vulnerability's severity warrants immediate attention.
Refer to the Movary project's official website or GitHub repository for the latest security advisories and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.