【高危漏洞】CVE-2026-23840:Movary 存在跨站脚本(XSS)漏洞
漏洞概述
Movary 是一款用于追踪、评分和探索电影观看历史的 Web 应用程序。在 0.70.0 版本之前,由于对用户输入缺乏充分验证,攻击者可通过特定 URL 参数注入并触发跨站脚本(XSS)攻击载荷,从而在受害者浏览器中执行恶意脚本。该漏洞已被分配 CVE 编号 CVE-2026-23840,CVSS v3.1 评分为 9.3(严重级别)。
漏洞详情
- CVE 编号:CVE-2026-23840
- 漏洞类型:跨站脚本(XSS),对应 CWE-20(输入验证不当)与 CWE-79(XSS)
- CVSS 评分:9.3(CRITICAL)
- 影响版本:Movary 0.70.0 之前的版本
影响范围
所有使用 Movary 且版本低于 0.70.0 的部署实例均受此漏洞影响。攻击者可构造包含恶意脚本的 URL(利用 ?categoryDeleted= 参数),诱导用户点击后在用户上下文中执行任意 JavaScript 代码。
风险分析
该漏洞属于存储型或反射型 XSS(根据上下文判断为反射型),攻击者可窃取用户会话 Cookie、篡改页面内容、发起钓鱼攻击或进一步渗透内网应用。由于漏洞利用无需身份认证且攻击复杂度低,仅需用户交互(如点击链接),因此风险极高。CVSS 向量显示其作用域已发生变化(Scope: Changed),意味着攻击可影响其他组件或用户。
修复建议
- 立即升级 Movary 至 0.70.0 或更高版本,该版本已修复此输入验证问题。
- 若无法立即升级,建议通过 Web 应用防火墙(WAF)规则临时过滤或转义
?categoryDeleted=参数中的特殊字符(如<、>、"等),以缓解 XSS 风险。
