【高危漏洞】CVE-2026-23839:Movary 存在跨站脚本(XSS)漏洞
漏洞概述
Movary 是一款用于记录、评分和探索电影观影历史的 Web 应用程序。在 0.70.0 版本之前,由于对用户输入缺乏充分验证,攻击者可通过特定参数注入恶意脚本,从而触发跨站脚本(XSS)攻击。该漏洞已被分配 CVE 编号 CVE-2026-23839,CVSS 评分为 9.3(CRITICAL),属于高危安全风险。
漏洞详情
- CVE 编号:CVE-2026-23839
- 漏洞类型:跨站脚本(XSS)— CWE-79 / 输入验证不足 — CWE-20
- CVSS 评分:9.3(CRITICAL)
向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N - 影响版本:Movary 0.70.0 之前的所有版本
影响范围
所有使用 Movary 0.70.0 之前版本的部署实例均受此漏洞影响,特别是当应用暴露于公网或允许不受信任用户访问时,风险显著增加。
风险分析
攻击者可构造包含恶意 JavaScript 代码的 URL,通过诱导用户点击(需用户交互),在受害者浏览器中执行任意脚本。由于漏洞作用域为“CHANGED”,攻击可能影响其他组件或会话,导致敏感信息(如 Cookie、会话令牌)泄露、账户劫持或页面内容篡改,严重威胁用户隐私与系统完整性。
修复建议
- 立即升级至 Movary 0.70.0 或更高版本,该版本已修复此 XSS 漏洞。
- 若无法立即升级,建议对所有用户输入(尤其是
?categoryUpdated=参数)实施严格的输出编码与内容安全策略(CSP),以缓解 XSS 风险。
