Platform
php
Component
movary
Opgelost in
0.71.2
Movary is een webapplicatie voor het bijhouden en beoordelen van films. Een kwetsbaarheid van het type SSRF (Server-Side Request Forgery) is ontdekt in versies van Movary vóór 0.71.1. Hierdoor kunnen geauthenticeerde gebruikers server-side verzoeken naar interne targets sturen, wat mogelijk misbruikt kan worden voor het in kaart brengen van het interne netwerk. De kwetsbaarheid is verholpen in versie 0.71.1.
CVE-2026-40348 treft Movary, een zelf-gehoste webapp voor het bijhouden en beoordelen van films. De kwetsbaarheid ligt in de endpoint /settings/jellyfin/server-url-verify. Een geauthenticeerde gebruiker kan deze endpoint manipuleren om server-side request forgery (SSRF) verzoeken naar willekeurige interne doelen te sturen. De applicatie construeert een URL uit de gebruikersinvoer, voegt /system/info/public toe en stuurt deze via Guzzle. Het ontbreken van validatie op interne hosts, loopback-adressen of private netwerkbereiken stelt een aanvaller in staat om toegang te krijgen tot gevoelige informatie of zelfs commando's uit te voeren op interne systemen, afhankelijk van de configuratie en permissies van de server. De CVSS-severity is 7.7, wat een hoog risico aangeeft.
Een geauthenticeerde aanvaller binnen de Movary-applicatie kan deze kwetsbaarheid exploiteren door een kwaadaardige URL naar de endpoint /settings/jellyfin/server-url-verify te sturen. Deze URL kan naar elke bron interne aan de server verwijzen, inclusief databases, applicatieservers of andere diensten. De aanvaller kan dan vertrouwelijk informatie extraheren of zelfs commando's op het doel-systeem uitvoeren. Het ontbreken van URL-validatie stelt de aanvaller in staat om standaard beveiligingsmaatregelen te omzeilen en toegang te krijgen tot bronnen die normaal gesproken beschermd zouden zijn. De exploitatiecomplexiteit is laag, en vereist alleen geauthenticeerde toegang en de mogelijkheid om een HTTP-verzoek te verzenden.
Organizations running Movary in environments with internal services accessible via HTTP/HTTPS are at risk. This includes deployments where Movary is used to manage media libraries and interact with Jellyfin or other internal media servers. Shared hosting environments where multiple users share the same Movary instance are particularly vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability.
• php: Examine Movary application logs for suspicious outbound HTTP requests to internal IP addresses or unusual domains. Use grep to search for patterns related to /settings/jellyfin/server-url-verify and internal URLs.
grep -r '/settings/jellyfin/server-url-verify' /var/log/apache2/access.log• generic web: Monitor web server access logs for requests to the /settings/jellyfin/server-url-verify endpoint originating from authenticated users. Look for unusual User-Agent strings or request headers.
curl -I http://movary.example.com/settings/jellyfin/server-url-verifydisclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om Movary te updaten naar versie 0.71.1 of hoger. Deze versie implementeert de nodige correcties om ongeautoriseerde SSRF-verzoeken te voorkomen. Gebruikers van oudere versies worden ten zeerste aangeraden hun Movary-installaties zo snel mogelijk te updaten. Controleer bovendien uw Jellyfin-configuratie om ervoor te zorgen dat er geen gevoelige informatie wordt blootgesteld via /system/info/public. Het implementeren van firewalls en netwerksegmentatie kan ook helpen om de impact van een mogelijke exploitatie te verminderen. Regelmatig monitoren van serverlogs op verdachte activiteiten is een goede beveiligingspraktijk.
Werk Movary bij naar versie 0.71.1 of hoger om de SSRF-vulnerability te mitigeren. Deze versie corrigeert het probleem door de URL's waartoe de server toegang heeft te beperken, waardoor de mogelijkheid om verzoeken naar willekeurige interne bestemmingen te sturen wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt een server te dwingen HTTP-verzoeken te doen naar bronnen waar de server geen toegang toe zou moeten hebben.
CVSS 7.7 geeft een hoog risico aan. Dit betekent dat de kwetsbaarheid gemakkelijk te exploiteren is en een aanzienlijke impact kan hebben op de vertrouwelijkheid, integriteit of beschikbaarheid van het systeem.
Als u een versie van Movary gebruikt die ouder is dan 0.71.1, bent u getroffen door deze kwetsbaarheid.
Als u nog niet kunt updaten, overweeg dan om firewallregels te implementeren om de toegang tot interne bronnen vanuit de Movary-applicatie te beperken.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar regelmatige penetratietests en beveiligingsaudits worden aanbevolen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.