一、 漏洞 CVE-2026-23839 基础信息
漏洞信息
# Movary 跨站脚本漏洞
## 概述
Movary 是一款用于追踪、评分和探索观影历史的 Web 应用程序。在 0.70.0 版本之前,因输入验证不足,存在跨站脚本(XSS)漏洞。
## 影响版本
0.70.0 之前的版本。
## 细节
漏洞参数为 `?categoryUpdated=`,攻击者可利用该参数注入并执行恶意脚本。
## 影响
攻击者可触发并执行跨站脚本(XSS)有效载荷,可能导致会话劫持或其他恶意行为。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Movary vulnerable to Cross-site Scripting with `?categoryUpdated=` param
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Movary is a web application to track, rate and explore your movie watch history. Due to insufficient input validation, attackers can trigger cross-site scripting payloads in versions prior to 0.70.0. The vulnerable parameter is `?categoryUpdated=`. Version 0.70.0 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-23839 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-23839 的情报信息
标题: Release 0.70.0 · leepeuker/movary · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:### 关键漏洞信息 #### 固定的漏洞 - **CVE-2026-23839** - **CVE-2026-23840** - **CVE-2026-23841** #### 修复内容 - 修复了上述报告的漏洞。 #### 额外安全改进 - 移除了在编辑位置时的XSS漏洞 (#739) #### 感谢 - 感谢 @mbiesiad 报告上述漏洞。
标题: XSS with `?categoryUpdated=` param · Advisory · leepeuker/movary · GitHub -- 🔗来源链接
标签:x_refsource_CONFIRM
神龙速读:## 关键信息 ### 漏洞标题 XSS with `?categoryUpdated=` param ### 严重性 - **CVSS v3 基础评分**: 9.3/10 - **等级**: Critical ### 受影响版本 - <= 0.69.0 ### 修复版本 - 0.70.0 ### 漏洞描述 由于输入验证不足,攻击者可以触发XSS载荷。易受攻击的参数是: ?categoryUpdated= ### 复现步骤 使用下面PoC部分提供的载荷查看触发的XSS。 ### 漏洞实例 - `http://LOCALHOST:8080/settings/account/locations?categoryUpdated=b<img src=1 onerror=alert(document.cookie)>` - `http://LOCALHOST:8080/settings/account/locations?categoryUpdated=b<img src=1 onerror=alert(document.domain)>` ### 解决建议 清理 / 过滤提到的输入 / 参数。 ### 影响 反射型跨站脚本(XSS)是一种客户端输入验证漏洞,它允许攻击者在其他用户查看的网页中注入恶意JavaScript。当用户提供的输入未经适当清理或编码就立即包含在服务器响应中时就会发生这种情况。其影响主要影响最终用户,因为攻击者可以窃取会话cookies、冒充身份执行未经授权的操作,或在用户的浏览器中显示欺骗性内容。 ### CVSS v3 基础指标 - **攻击向量**: Network - **攻击复杂度**: Low - **所需特权**: None - **用户交互**: Required - **作用范围**: Changed - **机密性**: High - **完整性**: High - **可用性**: None ### CVE ID CVE-2026-23839 ### 弱点 - CWE-20: 不当的输入验证 - CWE-79: 网页生成中的输入处理不当时导致的代码注入(跨站脚本) ### 参考资料 - https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html - https://owasp.org/www-community/attacks/xss/ - https://cwe.mitre.org/data/definitions/79.html - https://cwe.mitre.org/data/definitions/20.html
标题: movary/public/js/settings-account-location.js at main · leepeuker/movary · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:### 关键信息摘要 - **漏洞类型**: XSS (跨站脚本攻击) 代码中存在一处可能的XSS漏洞,这在提交信息中被指出。区域报警功能可能已被修复。 **修复描述**: - **位置**: ```javascript // 所示代码部分为修复XSS部分的具体实现。 ``` - **可能的漏洞源**: - 使用了`location.search`参数,可能存在未验证的用户输入,导致XSS攻击。 - **修复措施**: - 对用户输入进行适当的转义和验证(如`encodeURIComponent`函数)防止XSS攻击。 - **代码修改记录**: ```markdown Commit: 97d5b34 Author: leepeuker Date: 2周前 操作: Fix XSS vulnerability in location alerts Result: 已成功合并 ``` **注意事项:** - 在处理用户输入时,务必进行验证和转义以防止XSS攻击。 - 不对用户输入进行验证或转义可能导致网页内容被篡改,甚至泄漏敏感信息。
- https://nvd.nist.gov/vuln/detail/CVE-2026-23839
四、漏洞 CVE-2026-23839 的评论
暂无评论