Platform
nodejs
Component
movary
Opgelost in
0.71.2
CVE-2026-40350 affects Movary, a self-hosted web application for tracking and rating movies, prior to version 0.71.1. This vulnerability allows authenticated users to bypass authorization checks and create new administrator accounts, potentially granting them full control over the application. The vulnerability stems from a flawed boolean condition in the user-management endpoints. A fix is available in version 0.71.1.
CVE-2026-40350 treft Movary, een zelf-gehoste web-app om films te volgen en te beoordelen die een gebruiker heeft bekeken. Voor versie 0.71.1 kan een gewone geauthenticeerde gebruiker toegang krijgen tot de gebruikersbeheer-endpoints (/settings/users) en deze gebruiken om alle gebruikers op te sommen en een nieuw administrator-account aan te maken. Dit komt doordat de route-definities geen admin-only middleware afdwingen en de autorisatiecontrole op controller-niveau een gebroken booleaanse voorwaarde gebruikt. Hierdoor kan elke gebruiker met een geldige web-sessiecookie toegang krijgen tot functionaliteit die bedoeld is voor beheerders. Dit stelt een aanvaller in staat om de administratieve controle over de applicatie te krijgen, waardoor mogelijk gebruikersgegevens en de systeemintegriteit worden aangetast. Het opsommen van gebruikers onthult potentiële doelen voor verdere aanvallen, terwijl het aanmaken van een admin-account volledige toegang verleent.
Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller een geldige web-sessiecookie voor een geauthenticeerde gebruiker in Movary bezit. De aanvaller kan dan toegang krijgen tot de /settings/users endpoints om alle gebruikers op te sommen en een nieuw administrator-account aan te maken. De complexiteit van de exploitatie is laag, omdat er geen geavanceerde technische vaardigheden nodig zijn. De waarschijnlijkheid van exploitatie is hoog, gezien de gemakkelijke toegankelijkheid van de kwetsbaarheid en het gebrek aan gespecialiseerde authenticatie naast een geldige sessiecookie. Deze kwetsbaarheid is vooral zorgwekkend in omgevingen waar sessiecookies worden gedeeld of hergebruikt.
Self-hosted Movary installations are at the highest risk, particularly those with limited security monitoring or outdated configurations. Users who have not implemented strong password policies or multi-factor authentication are also at increased risk, as a compromised user account could be leveraged to exploit this vulnerability.
• nodejs / server:
grep -r 'settings/users' /path/to/movary/routes/*.js | grep -i 'admin'• generic web:
curl -I http://your-movary-instance/settings/users
# Check for 200 OK response, indicating access is not restricteddisclosure
Exploit Status
EPSS
0.04% (14% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-40350 is om Movary te updaten naar versie 0.71.1 of hoger. Deze versie corrigeert de kwetsbaarheid door correct admin-only middleware te implementeren op de gebruikersbeheer-endpoints en de gebrekkige booleaanse voorwaarde in de autorisatiecontrole op controller-niveau te corrigeren. Het wordt ten zeerste aanbevolen om te updaten naar de nieuwste versie om het risico op uitbuiting te beperken. Controleer bovendien de auditlogs op verdachte activiteiten die mogelijk hebben plaatsgevonden vóór de update. Zorg ervoor dat alle administrator-accounts sterke, unieke wachtwoorden hebben.
Actualice Movary a la versión 0.71.1 o superior para corregir la vulnerabilidad de bypass de autorización. Esta actualización implementa una verificación de autorización adecuada para restringir el acceso a las funciones de administración solo a usuarios con privilegios administrativos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Movary is een zelf-gehoste web-applicatie waarmee gebruikers de films kunnen volgen en beoordelen die ze hebben bekeken.
Deze update pakt een kwetsbaarheid aan die niet-administrator-gebruikers in staat stelt om administrator-accounts aan te maken, waardoor de beveiliging van de applicatie mogelijk wordt aangetast.
Update naar versie 0.71.1 of hoger door de update-instructies van de Movary-ontwikkelaar te volgen.
Wijzig onmiddellijk de wachtwoorden van alle administrator-accounts, controleer de auditlogs op verdachte activiteiten en overweeg om de applicatie opnieuw te installeren vanuit een vertrouwde bron.
Nee, er zijn geen haalbare alternatieven voor het updaten. Workarounds zouden uiterst complex zijn en mogelijk nieuwe kwetsbaarheden introduceren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.