Plataforma
javascript
Componente
movary
Corrigido em
0.70.1
O CVE-2026-23840 é uma vulnerabilidade de Cross-Site Scripting (XSS) encontrada no Movary, um aplicativo web para rastrear e avaliar filmes. A falha reside na falta de validação adequada da entrada, permitindo que atacantes injetem scripts maliciosos através do parâmetro ?categoryDeleted=. Versões do Movary anteriores à 0.70.0 são afetadas. A correção foi implementada na versão 0.70.0.
Um atacante pode explorar esta vulnerabilidade para injetar scripts maliciosos no Movary, que serão executados no navegador de usuários que acessarem a página vulnerável. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página. O impacto é significativo, pois permite a execução de código arbitrário no contexto do usuário, comprometendo a confidencialidade e integridade dos dados. A exploração bem-sucedida pode resultar em acesso não autorizado a informações sensíveis armazenadas no Movary, como histórico de filmes assistidos e avaliações pessoais.
O CVE-2026-23840 foi publicado em 2026-01-19. Não há informações disponíveis sobre exploração ativa ou existência de Proof-of-Concept (PoC) públicos no momento. A vulnerabilidade recebeu uma pontuação CVSS de 9.3 (CRÍTICO), indicando um alto risco de exploração. A ausência de informações sobre exploração ativa não diminui a necessidade de aplicar a correção ou mitigação.
Organizations and individuals using Movary to track their movie history are at risk. This includes users who rely on the application for personal entertainment tracking and those who deploy Movary on shared hosting environments, where vulnerabilities can be more easily exploited due to limited control over the server configuration.
• javascript: Inspect the application's JavaScript code for instances where the ?categoryDeleted= parameter is used without proper sanitization. Look for functions that directly insert the parameter's value into the DOM without encoding.
• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the ?categoryDeleted= parameter. Example:
grep -i 'alert\(' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-23840 é a atualização para a versão 0.70.0 do Movary, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as entradas de usuário no lado do servidor. Além disso, configure um Web Application Firewall (WAF) para bloquear solicitações com payloads XSS conhecidos. Monitore os logs do servidor em busca de padrões suspeitos de injeção de scripts.
Atualize Movary para a versão 0.70.0 ou superior. Esta versão corrige a vulnerabilidade de Cross-site Scripting (XSS) ao validar corretamente as entradas do parâmetro `categoryDeleted`. A atualização evitará que atacantes executem scripts maliciosos em seu navegador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23840 is a critical Cross-Site Scripting (XSS) vulnerability in Movary versions prior to 0.70.0, allowing attackers to inject malicious scripts.
You are affected if you are using Movary version 0.70.0 or earlier. Upgrade to 0.70.0 to mitigate the risk.
Upgrade Movary to version 0.70.0 or later. Consider a WAF rule to filter suspicious requests as a temporary measure.
There are no confirmed reports of active exploitation at this time, but the vulnerability's severity warrants immediate attention.
Refer to the Movary project's official website or GitHub repository for the latest security advisories and release notes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.