平台
javascript
组件
movary
修复版本
0.70.1
CVE-2026-23840 描述了 Movary 电影跟踪应用中存在的跨站脚本攻击 (XSS) 漏洞。该漏洞源于对输入参数 ?categoryDeleted= 的验证不足,攻击者可以利用此漏洞执行恶意脚本。受影响的版本包括 0.70.0 之前的版本。已发布安全补丁,建议用户尽快升级至 0.70.0 版本。
该 XSS 漏洞允许攻击者在受害者的浏览器中执行任意 JavaScript 代码。攻击者可以通过构造恶意的 URL,诱导用户点击,从而窃取用户的 Cookie、会话令牌或其他敏感信息。此外,攻击者还可以利用此漏洞重定向用户到恶意网站,或在 Movary 应用中显示虚假信息,从而欺骗用户。由于 Movary 应用通常用于管理电影观看历史,因此该漏洞可能导致用户的个人信息和观看偏好泄露。
该漏洞已公开披露,并且由于其严重性和易于利用性,可能成为攻击者的目标。目前尚未观察到大规模的利用活动,但由于该漏洞的 CVSS 评分为严重,建议尽快采取缓解措施。该漏洞的公开披露日期为 2026-01-19。
Organizations and individuals using Movary to track their movie history are at risk. This includes users who rely on the application for personal entertainment tracking and those who deploy Movary on shared hosting environments, where vulnerabilities can be more easily exploited due to limited control over the server configuration.
• javascript: Inspect the application's JavaScript code for instances where the ?categoryDeleted= parameter is used without proper sanitization. Look for functions that directly insert the parameter's value into the DOM without encoding.
• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the ?categoryDeleted= parameter. Example:
grep -i 'alert\(' /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
0.13% (32% 百分位)
CISA SSVC
CVSS 向量
修复此漏洞的首要措施是立即升级 Movary 应用至 0.70.0 或更高版本。如果无法立即升级,可以尝试使用 Web 应用防火墙 (WAF) 或反向代理来过滤包含恶意脚本的 URL 请求。此外,建议对所有用户输入进行严格的验证和过滤,以防止 XSS 攻击。在升级后,请验证应用是否不再受到 XSS 攻击的影响,例如通过手动测试或使用安全扫描工具。
将 Movary 更新到 0.70.0 或更高版本。此版本通过正确验证 `categoryDeleted` 参数的输入来修复跨站脚本 (XSS) 漏洞。更新将防止攻击者在您的浏览器中执行恶意脚本。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-23840 是 Movary 电影跟踪应用中发现的跨站脚本攻击 (XSS) 漏洞,由于输入验证不足,攻击者可以利用 ?categoryDeleted= 参数执行恶意脚本。
如果您正在使用 Movary 电影跟踪应用,并且版本低于 0.70.0,则您可能受到此漏洞的影响。请立即升级至最新版本。
修复此漏洞的最佳方法是升级 Movary 应用至 0.70.0 或更高版本。如果无法立即升级,请考虑使用 WAF 或其他缓解措施。
虽然目前尚未观察到大规模的利用活动,但由于该漏洞的严重性和易于利用性,建议尽快采取缓解措施。
请访问 Movary 的官方网站或 GitHub 仓库,查找有关 CVE-2026-23840 的安全公告。