【高危漏洞】CVE-2026-23841:Movary 存在跨站脚本(XSS)漏洞
漏洞概述
Movary 是一款用于记录、评分和探索电影观影历史的 Web 应用程序。在 0.70.0 版本之前,由于对用户输入缺乏充分验证,攻击者可通过特定参数注入并触发跨站脚本(XSS)攻击。该漏洞已被分配 CVE 编号 CVE-2026-23841,CVSS 评分为 9.3(CRITICAL),属于高危安全风险。
漏洞详情
- CVE 编号:CVE-2026-23841
- 漏洞类型:跨站脚本(XSS)— CWE-79 / 输入验证不足 — CWE-20
- CVSS 评分:9.3(CRITICAL)
向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N - 影响版本:Movary 0.70.0 之前的所有版本
影响范围
所有使用 Movary 0.70.0 之前版本的部署实例均受此漏洞影响。攻击者可利用 URL 参数 ?categoryCreated= 注入恶意脚本,当其他用户访问包含该参数的链接时,脚本将在其浏览器中执行。
风险分析
该漏洞允许攻击者在受害者浏览器中执行任意 JavaScript 代码,可能导致会话劫持、敏感信息窃取(如 Cookie、本地存储数据)、钓鱼攻击或页面内容篡改。由于 CVSS 评分中 Scope 为 Changed(S:C),表明攻击可影响超出当前应用的安全边界,进一步扩大危害。
修复建议
- 立即升级至 Movary 0.70.0 或更高版本,该版本已修复此 XSS 漏洞。
- 若暂时无法升级,建议对所有用户输入(特别是 URL 查询参数)实施严格的输出编码与内容安全策略(CSP)作为临时缓解措施。
