支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-23840 基础信息
漏洞信息
                                        # Movary 跨站脚本漏洞

## 概述
Movary 是一个用于追踪、评分和探索观影历史的 Web 应用程序,其在 0.70.0 版本之前存在跨站脚本(XSS)漏洞。

## 影响版本
0.70.0 之前的版本均受影响。

## 细节
漏洞由参数 `?categoryDeleted=` 缺乏充分的输入验证导致,攻击者可利用该参数注入并执行恶意脚本。

## 影响
攻击者可触发跨站脚本攻击,可能窃取用户会话、劫持账户或执行未经授权的操作。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Movary vulnerable to Cross-site Scripting with `?categoryDeleted=` param
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Movary is a web application to track, rate and explore your movie watch history. Due to insufficient input validation, attackers can trigger cross-site scripting payloads in versions prior to 0.70.0. The vulnerable parameter is `?categoryDeleted=`. Version 0.70.0 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-23840 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-23840 的情报信息

  • 标题: Release 0.70.0 · leepeuker/movary · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ### 关键漏洞信息

#### 固定的漏洞
- **CVE-2026-23839**
- **CVE-2026-23840**
- **CVE-2026-23841**

#### 修复内容
- 修复了上述报告的漏洞。

#### 额外安全改进
- 移除了在编辑位置时的XSS漏洞 (#739)

#### 感谢
- 感谢 @mbiesiad 报告上述漏洞。
    Release 0.70.0 · leepeuker/movary · GitHub

  • 标题: XSS with `?categoryDeleted=` param · Advisory · leepeuker/movary · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            ## 关键漏洞信息

- **漏洞名称**: XSS with `?categoryDeleted=` param
- **严重性**: Critical (CVSS: 9.3/10)
- **CVE ID**: CVE-2026-23840
- **CVSS v3 Base Metrics**:
  - Attack Vector: Network
  - Attack Complexity: Low
  - Privileges Required: None
  - User Interaction: Required
  - Scope: Changed
  - Confidentiality: High
  - Integrity: High
  - Availability: None

- **受影响版本**: <= 0.69.0 Latest
- **已修复版本**: None

### 漏洞描述
由于输入验证不足,攻击者可以触发XSS载荷。易受攻击的参数是`?categoryDeleted=`。

### 细节与PoC
- **复现步骤**: 使用下方提供的PoC部分中的有效载荷查看触发的XSS。
- **有效载荷示例**:
  - `http://LOCALHOST:8080/settings/account/locations?categoryDeleted=b<img src=1 onerror=alert(document.domain)>`
  - `http://LOCALHOST:8080/settings/account/locations?categoryDeleted=b<img src=1 onerror=alert(document.cookie)>`

### 提议修复
对提到的输入/参数进行清理/净化。

### 弱点
- CWE-20: 不正确的输入验证
- CWE-79: Web页面生成期间输入中和不当

### 影响
反射型跨站脚本(XSS)是一种客户端输入验证漏洞,允许攻击者在其他用户查看的网页中注入恶意JavaScript。
当用户提供的输入在未经适当清理或编码的情况下立即包含在服务器响应中时就会发生。这种影响主要影响最终用户,因为攻击者可以窃取会话cookie、代表用户执行未经授权的操作,或者在其浏览器中显示欺骗性内容。

### 参考资料
- OWASP Cheat Sheet: [Cross-Site Scripting Prevention Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html)
- OWASP XSS: [Cross-Site Scripting](https://owasp.org/www-community/attacks/xss/)
- CWE-79: [Improper Neutralization of Input During Web Page Generation](https://cwe.mitre.org/data/definitions/79.html)
- CWE-20: [Improper Input Validation](https://cwe.mitre.org/data/definitions/20.html)
    XSS with `?categoryDeleted=` param · Advisory · leepeuker/movary · GitHub

  • 标题: movary/public/js/settings-account-location.js at main · leepeuker/movary · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ### 关键信息

**漏洞类型**: XSS (跨站脚本攻击)

**修复信息**:
- **提交信息**: Fix XSS vulnerability in location alerts
- **作者**: leeepeuker
- **提交时间**: 2 周前
- **提交哈希**: 97d5b34

**文件**:
- **路径**: js/settings-account-location.js

**摘要**:
- 该提交修复了与位置警报相关的XSS漏洞。具体细节可以在提交的代码变更中查看。
    movary/public/js/settings-account-location.js at main · leepeuker/movary · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2026-23840
四、漏洞 CVE-2026-23840 的评论

暂无评论

发表评论