CVE-2026-23841 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Movary 影评程序存在 **跨站脚本 (XSS)** 漏洞。 💥 **后果**：攻击者可通过恶意脚本在受害者浏览器中执行任意代码，窃取会话或篡改页面。

🔍 **CWE**：CWE-20 (输入验证不足)。 📍 **缺陷点**：对 **categoryCreated** 参数缺乏严格的输入过滤与转义，导致恶意脚本注入。

🎯 **受影响产品**：Movary (Lee Peuker 开发)。 📦 **高危版本**：**0.70.0 之前**的所有版本。

🕵️ **黑客能力**： - 🍪 **窃取数据**：劫持用户 Cookie/Session。 - 🎭 **钓鱼欺诈**：伪造登录界面或页面内容。 - 📢 **恶意重定向**：将用户引导至恶意网站。

⚠️ **利用门槛**：**中等**。 - 🌐 **网络**：远程 (AV:N)。 - 🔑 **权限**：无需认证 (PR:N)。 - 🖱️ **交互**：需用户点击/交互 (UI:R)。

📜 **Exp 状态**：当前 **无公开 PoC** (pocs 为空)。 🌍 **在野利用**：暂无相关报告，但风险依然存在。

🔎 **自查方法**： - 检查是否存在 **categoryCreated** 参数。 - 尝试注入 `<script>alert(1)</script>` 测试是否执行。 - 使用扫描器检测反射型 XSS 特征。

🛡️ **官方修复**：**已修复**。 ✅ **解决方案**：升级至 **v0.70.0** 或更高版本。 🔗 **参考**：GitHub Security Advisory (GHSA-v877-x568-4v5v)。

🚧 **临时规避**： - 🚫 **禁用输入**：限制 categoryCreated 参数输入。 - 🛡️ **WAF 防护**：配置规则拦截 `<script>` 等 XSS 载荷。 - 🧹 **输出编码**：确保前端对输入内容进行 HTML 实体编码。

🔥 **优先级**：**高**。 - 📊 **CVSS**：7.5 (高危)。 - 💡 **建议**：立即升级至 v0.70.0+，若无法升级需实施 WAF 防护。