HIGHCVE-2026-40350CVSS 8.8

Movary 用户管理 (/settings/users) 存在授权绕过，允许低权限用户枚举所有用户并创建管理员帐户

Q: CVE-2026-40350 是什么 — Movary 中的漏洞？

Movary 是一款自托管的 Web 应用程序，允许用户跟踪和评分他们观看过的电影。

Q: Movary 中的 CVE-2026-40350 是否会影响我？

此更新解决了允许非管理员用户创建管理员帐户的漏洞，从而可能损害应用程序的安全性。

Q: 如何修复 Movary 中的 CVE-2026-40350？

请按照 Movary 开发人员提供的更新说明，更新到 0.71.1 或更高版本。

Q: CVE-2026-40350 是否正在被积极利用？

立即更改所有管理员帐户的密码，检查审核日志中是否有可疑活动，并考虑从可信来源重新安装该应用程序。

Q: 在哪里可以找到 Movary 关于 CVE-2026-40350 的官方安全通告？

不，没有可行的替代方案。解决方法将非常复杂，并可能引入新的漏洞。

平台

nodejs

组件

movary

修复版本

0.71.2

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

Movary, a self-hosted movie tracking application, contains a vulnerability that allows authenticated users to create administrator accounts. This flaw stems from a broken authorization check in the user management endpoints. Versions prior to 0.71.1 are affected. The vulnerability has been addressed in version 0.71.1.

影响与攻击场景

CVE-2026-40350 影响 Movary，这是一个用于跟踪和评分用户观看过的电影的自托管 Web 应用程序。在版本 0.71.1 之前，普通经过身份验证的用户可以访问用户管理端点 /settings/users 并使用它们来枚举所有用户并创建一个新的管理员帐户。这发生的原因是路由定义没有强制执行仅限管理员的中间件，并且控制器级别的授权检查使用了错误的布尔条件。因此，拥有有效 Web 会话 Cookie 的任何用户都可以访问仅供管理员使用的功能。这使得攻击者可以获得对应用程序的管理控制权，从而可能损害用户数据和系统完整性。用户枚举会揭示进一步攻击的潜在目标，而创建管理员帐户则授予完全访问权限。

利用背景

利用此漏洞需要攻击者拥有 Movary 中经过身份验证的用户的有效 Web 会话 Cookie。然后，攻击者可以访问 /settings/users 端点以枚举所有用户并创建一个新的管理员帐户。利用的复杂性很低，因为不需要高级技术技能。由于漏洞易于访问且不需要超出有效会话 Cookie 的任何特殊身份验证，因此利用的可能性很高。此漏洞在会话 Cookie 被共享或重复使用的环境中特别令人担忧。

哪些人处于风险中翻译中…

Self-hosted Movary installations are at the highest risk, particularly those with limited security monitoring or outdated configurations. Users who have not implemented strong password policies or multi-factor authentication are also at increased risk, as a compromised user account could be leveraged to exploit this vulnerability.

检测步骤翻译中…

• nodejs / server:

  grep -r 'settings/users' /path/to/movary/routes/*.js | grep -i 'admin'

• generic web:

  curl -I http://your-movary-instance/settings/users
  # Check for 200 OK response, indicating access is not restricted

攻击时间线

2026-04-18Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (14% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件movary

供应商leepeuker

影响范围修复版本

< 0.71.1 – < 0.71.10.71.2

弱点分类 (CWE)

CWE-863

时间线

已保留2026-04-10
发布日期2026-04-18
修改日期2026-04-20
EPSS 更新日期2026-04-25

缓解措施和替代方案

CVE-2026-40350 的解决方案是将 Movary 更新到 0.71.1 或更高版本。此版本通过在用户管理端点上正确实施仅限管理员的中间件并修复控制器级别授权检查中的有缺陷的布尔条件来修复漏洞。强烈建议更新到最新版本以降低被利用的风险。此外，请审核日志，查找更新之前可能发生的任何可疑活动。确保所有管理员帐户都具有强密码和唯一密码。

修复方法翻译中…

Actualice Movary a la versión 0.71.1 o superior para corregir la vulnerabilidad de bypass de autorización. Esta actualización implementa una verificación de autorización adecuada para restringir el acceso a las funciones de administración solo a usuarios con privilegios administrativos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-40350 是什么 — Movary 中的漏洞？