CVE-2026-23839 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Movary 存在 **XSS（跨站脚本）** 漏洞。 💥 **后果**：攻击者可在受害者浏览器执行恶意脚本，窃取会话或篡改页面。

🔍 **CWE**：CWE-20（输入验证不足）。 📍 **缺陷点**：`categoryUpdated` 参数未做严格过滤，直接渲染导致注入。

📦 **产品**：Movary（Lee Peuker 开发的影评程序）。 📉 **版本**：**0.70.0 之前**的所有版本均受影响。

🕵️ **权限**：无需管理员权限，普通用户即可触发。 📊 **数据**：可窃取 **Cookie/Session**、劫持用户操作、钓鱼欺骗。

🚧 **门槛**：**低**。 🔑 **条件**：攻击向量 **AV:N**（网络），但需 **UI:R**（用户交互），即需诱导用户点击恶意链接或输入。

📜 **Exp**：目前 **无公开 PoC**（pocs 为空）。 🌍 **在野**：暂无在野利用报告，但代码位置已明确。

🔎 **自查**：检查 URL 或请求中是否包含 `categoryUpdated` 参数。 🛠 **工具**：使用 XSS 扫描器检测该参数是否被正确转义。

✅ **修复**：**已修复**。 📥 **方案**：升级至 **v0.70.0** 或更高版本（参考 GitHub Release）。

🛡 **临时规避**：若无法升级，需手动审查 `settings-account-location.js` 第 237 行附近代码。 🚫 **措施**：对 `categoryUpdated` 输入实施严格的 **HTML 实体编码** 或白名单过滤。

⚡ **优先级**：**高**。 💡 **理由**：CVSS 评分高（C:H, I:H），且为常见 XSS 类型，极易被自动化利用，建议 **立即升级**。