Plataforma
other
Componente
movary
Corrigido em
0.70.1
O CVE-2026-23841 refere-se a uma vulnerabilidade de Cross-Site Scripting (XSS) presente no aplicativo web Movary, utilizado para rastrear e avaliar filmes. A falha reside na validação inadequada de entradas, permitindo que atacantes injetem payloads maliciosos. Versões do Movary anteriores à 0.70.0 são afetadas, e a correção foi implementada na versão 0.70.0.
Um atacante pode explorar esta vulnerabilidade injetando código JavaScript malicioso através do parâmetro ?categoryCreated=. Ao ser executado no navegador de um usuário, este código pode roubar cookies de sessão, redirecionar o usuário para sites maliciosos, ou modificar o conteúdo da página web, comprometendo a integridade da aplicação. O impacto pode se estender a todos os usuários que interagem com a funcionalidade afetada, permitindo a coleta de informações sensíveis ou a execução de ações em nome do usuário. A exploração bem-sucedida pode levar à completa tomada de controle da sessão do usuário.
O CVE-2026-23841 foi publicado em 2026-01-19. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, especialmente devido à sua pontuação CVSS de 9.3 (CRÍTICO).
Users of Movary versions prior to 0.70.0 are at risk, particularly those who frequently interact with the application's category creation features. Shared hosting environments where multiple users share the same Movary instance are also at increased risk, as a compromise of one user could potentially affect others.
disclosure
Status do Exploit
EPSS
0.15% (percentil 36%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-23841 é a atualização imediata para a versão 0.70.0 do Movary, que corrige a vulnerabilidade de XSS. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de proteção adicionais, como a aplicação de regras em um Web Application Firewall (WAF) para bloquear payloads XSS conhecidos no parâmetro ?categoryCreated=. Monitore os logs de acesso e erro do servidor em busca de padrões suspeitos de injeção de script. A validação rigorosa de todas as entradas de usuário é fundamental para prevenir futuras vulnerabilidades.
Atualize Movary para a versão 0.70.0 ou superior. Esta versão contém a correção para a vulnerabilidade de Cross-site Scripting. A atualização pode ser realizada através dos canais de atualização providos pelo software.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23841 is a critical XSS vulnerability in Movary versions before 0.70.0, allowing attackers to inject malicious scripts via the ?categoryCreated= parameter.
Yes, if you are using Movary version 0.70.0 or earlier, you are vulnerable to this XSS attack.
Upgrade Movary to version 0.70.0 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation.
Refer to the Movary project's official website or repository for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.