CVE-2026-23839 - 使用 ?categoryUpdated= 参数的 Movary 存在跨站脚本漏洞
概述
描述
Movary 是一个用于追踪、评分和探索电影观看历史的Web应用程序。由于输入验证不足,攻击者可以在 0.70.0 之前的版本中触发跨站脚本攻击载荷。易受攻击的参数是 ?categoryUpdated=。版本 0.70.0 修复了此问题。
信息
- 发布日期:2026年1月19日 下午7:16
- 最后修改:2026年1月19日 下午7:16
- 远程利用:是
- 来源:security-advisories@github.com
受影响产品
以下产品受 CVE-2026-23839 漏洞影响。
| ID | 供应商 | 产品 |
|---|---|---|
| 1 | Leepeuker | movary |
- 受影响供应商总数:1
- 产品数量:1
CVSS 评分
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 3.1 | 严重 | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N | 2.8 | 5.8 | security-advisories@github.com |
解决方案
- 将 Movary 更新至 0.70.0 或更高版本来修复跨站脚本漏洞。
- 应用安全补丁。
- 对
categoryUpdated参数进行用户输入验证。 - 对所有用户提供的数据进行清理。
参考资料
https://github.com/leepeuker/movary/blob/main/public/js/settings-account-location.js#L237https://github.com/leepeuker/movary/releases/tag/0.70.0https://github.com/leepeuker/movary/security/advisories/GHSA-v32w-5qx7-p3vq
CWE - 通用弱点枚举
- CWE-20:输入验证不恰当
- CWE-79:在网页生成期间对输入的中和不当(“跨站脚本”)
CAPEC - 常见攻击模式枚举与分类
攻击模式包括但不限于:
- CAPEC-63:跨站脚本(XSS)
- CAPEC-588:基于 DOM 的 XSS
- CAPEC-591:反射型 XSS
- CAPEC-592:存储型 XSS
- 以及其他多种绕过输入过滤、注入攻击的模式。
漏洞时间线
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | Movary 是一个用于追踪、评分和探索电影观看历史的Web应用程序。由于输入验证不足,攻击者可以在 0.70.0 之前的版本中触发跨站脚本攻击载荷。易受攻击的参数是 ?categoryUpdated=。版本 0.70.0 修复了此问题。 |
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
| 添加 | CWE | - | CWE-79, CWE-20 |
| 添加 | 参考资料 | - | GitHub 链接及安全公告 |
| LQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRj2gOjOWVU2mjF2frRhAcsR |
