Platform
other
Component
movary
Opgelost in
0.70.1
CVE-2026-23841 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in Movary, een webapplicatie voor het bijhouden, beoordelen en verkennen van uw filmgeschiedenis. Door onvoldoende validatie van invoer kunnen aanvallers schadelijke scripts injecteren. Deze kwetsbaarheid treft versies van Movary die lager zijn dan of gelijk aan 0.70.0. De kwetsbaarheid is verholpen in versie 0.70.0.
Deze XSS kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript code uit te voeren in de context van een gebruikerssessie. Dit kan leiden tot het stelen van sessiecookies, het overnemen van accounts, het omleiden van gebruikers naar kwaadaardige websites, of het wijzigen van de inhoud van de webpagina. De impact is aanzienlijk, omdat een succesvolle exploitatie kan resulteren in een compromis van de gehele Movary installatie en de gegevens van de gebruikers. Een aanvaller kan deze kwetsbaarheid misbruiken om phishing aanvallen uit te voeren of malware te verspreiden via de Movary applicatie.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 19 januari 2026. Er zijn momenteel geen publieke Proof-of-Concept exploits bekend, maar de XSS aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De CVSS score is 9.3 (CRITICAL), wat wijst op een hoge waarschijnlijkheid van exploitatie. Er is geen vermelding op de CISA KEV catalogus op dit moment.
Users of Movary versions prior to 0.70.0 are at risk, particularly those who frequently interact with the application's category creation features. Shared hosting environments where multiple users share the same Movary instance are also at increased risk, as a compromise of one user could potentially affect others.
disclosure
Exploit Status
EPSS
0.15% (36% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-23841 is het upgraden van Movary naar versie 0.70.0 of hoger. Indien een upgrade momenteel niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) met regels om XSS-pogingen te blokkeren een tijdelijke oplossing bieden. Zorg ervoor dat alle invoerparameters, met name de ?categoryCreated= parameter, grondig worden gevalideerd en ontsmet. Implementeer Content Security Policy (CSP) om de bronnen die de browser mag laden te beperken.
Werk Movary bij naar versie 0.70.0 of hoger. Deze versie bevat de correctie voor de Cross-site Scripting kwetsbaarheid. De update kan worden uitgevoerd via de updatekanalen die door de software worden aangeboden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23841 is a critical XSS vulnerability in Movary versions before 0.70.0, allowing attackers to inject malicious scripts via the ?categoryCreated= parameter.
Yes, if you are using Movary version 0.70.0 or earlier, you are vulnerable to this XSS attack.
Upgrade Movary to version 0.70.0 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation.
Refer to the Movary project's official website or repository for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.