CVE-2026-23841 描述了 Movary 电影管理应用中存在的跨站脚本攻击 (XSS) 漏洞。攻击者可以通过构造恶意脚本,利用该漏洞在用户不知情的情况下执行代码,从而窃取敏感信息或劫持用户会话。该漏洞影响所有版本低于 0.70.0 的 Movary 应用,已于 0.70.0 版本中修复。
该 XSS 漏洞允许攻击者在受害者访问包含恶意脚本的 Movary 页面时执行任意 JavaScript 代码。攻击者可以利用此漏洞窃取用户的登录凭据、浏览历史记录,甚至劫持用户的会话,从而完全控制用户的账户。更严重的后果包括篡改电影数据、传播恶意软件或进行钓鱼攻击。由于该漏洞的 CVSS 评分为 CRITICAL,因此其潜在影响非常严重,可能导致严重的安全事件。
该漏洞已公开披露,且由于其易于利用,存在被恶意利用的风险。目前尚未观察到大规模的针对该漏洞的攻击活动,但由于其 CVSS 评分为 CRITICAL,建议尽快采取缓解措施。该漏洞的公开信息有限,但其利用方式与常见的 XSS 攻击模式类似。
Users of Movary versions prior to 0.70.0 are at risk, particularly those who frequently interact with the application's category creation features. Shared hosting environments where multiple users share the same Movary instance are also at increased risk, as a compromise of one user could potentially affect others.
disclosure
漏洞利用状态
EPSS
0.15% (36% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Movary 升级至 0.70.0 或更高版本。如果无法立即升级,可以尝试限制对 ?categoryCreated= 参数的访问,并对输入进行严格的验证和过滤,以防止恶意脚本的注入。此外,建议启用 Web 应用防火墙 (WAF) 并配置相应的规则,以检测和阻止 XSS 攻击。监控 Movary 应用的日志,查找可疑活动,并及时采取措施。
将 Movary 更新到 0.70.0 或更高版本。此版本包含跨站脚本 (Cross-site Scripting) 漏洞的修复。可以通过软件提供的更新渠道进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-23841 是 Movary 电影管理应用中发现的一个跨站脚本攻击 (XSS) 漏洞,允许攻击者执行恶意脚本。
如果您使用的 Movary 版本低于 0.70.0,则您可能受到此漏洞的影响。请立即升级至最新版本。
最简单的修复方法是升级到 Movary 0.70.0 或更高版本。
虽然目前尚未观察到大规模的利用,但由于漏洞的严重性,存在被恶意利用的风险。
请访问 Movary 官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复信息。