一、 漏洞 CVE-2026-23841 基础信息

                                        # Movary 跨站脚本漏洞

## 概述
Movary 是一个用于追踪、评分和探索电影观看历史的 Web 应用。在 0.70.0 版本之前，由于缺乏足够的输入验证，存在跨站脚本（XSS）漏洞。

## 影响版本
0.70.0 之前的版本

## 细节
漏洞存在于 `?categoryCreated=` 参数中。攻击者可通过该参数注入并触发恶意 JavaScript 脚本，导致跨站脚本攻击。

## 影响
攻击者可利用该漏洞在用户浏览器中执行任意脚本，可能导致会话劫持、敏感信息泄露或恶意操作。
                                        

二、漏洞 CVE-2026-23841 的公开POC

三、漏洞 CVE-2026-23841 的情报信息

• 标题： Release 0.70.0 · leepeuker/movary · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          ### 关键漏洞信息
  
  #### 固定的漏洞
  - **CVE-2026-23839**
  - **CVE-2026-23840**
  - **CVE-2026-23841**
  
  #### 修复内容
  - 修复了上述报告的漏洞。
  
  #### 额外安全改进
  - 移除了在编辑位置时的XSS漏洞 (#739)
  
  #### 感谢
  - 感谢 @mbiesiad 报告上述漏洞。
                                          

  

• 标题： XSS with `?categoryCreated=` param · Advisory · leepeuker/movary · GitHub -- 🔗来源链接

  标签：x_refsource_CONFIRM

  神龙速读：

                                          ### 关键信息
  
  * **漏洞名称**: XSS with `?categoryCreated=` param
  * **漏洞ID**: GHSA-v877-x568-4v5v
  * **CVE ID**: CVE-2026-23841
  * **严重程度**: Critical (9.3/10)
  * **受影响版本**: <= 0.69.0
  * **修复版本**: 0.70.0
  * **漏洞描述**: 由于输入验证不足，攻击者可以触发XSS payloads。易受攻击的参数为 `?categoryCreated=`。
  * **PoC**: 
    * Payloads:
      ```
      http://LOCALHOST:8080/settings/account/locations?categoryCreated=a<img src=1 onerror=alert(document.cookie)>
      http://LOCALHOST:8080/settings/account/locations?categoryCreated=a<img src=1 onerror=alert(document.origin)>
      ```
  * **建议修复**: 对提到的输入/参数进行清理或消毒
  * **影响**: 反射型跨站脚本（XSS）是客户端输入验证漏洞，允许攻击者将恶意JavaScript注入到其他用户查看的网页中。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2026-23841

四、漏洞 CVE-2026-23841 的评论