Inicio
>
Check Vulnerabilidades > Resumen vulnerabilidades críticas – 4 elementos (20 ene 2026 Europe/Madrid)
Resumen vulnerabilidades críticas – 4 elementos (20 ene 2026 Europe/Madrid)
| CVE |
Vendor |
Producto |
Severidad |
VAfectadas |
Exploit |
| CVE-2026-23839 |
leepeuker (desarrollador de Movary) |
AfectadoMovary (aplicación web para seguimiento de películas) |
CRÍTICA (9.3) |
versiones anteriores a 0.70.0 |
No |
| CVE-2026-23840 |
leepeuker |
Movary |
CRITICAL (9.3) |
versiones anteriores a 0.70.0 |
No |
| CVE-2026-23841 |
leepeuker |
AfectadoMovary |
CRITICAL (9.3) |
versiones anteriores a 0.70.0 |
No |
| CVE-2026-23837 |
Frankli Oxygen (MyTube) |
MyTube (Self-hosted video downloader and player) |
CRITICAL (9.8) |
1.7.65 y versiones potencialmente anteriores |
No |
| CVE |
CVE-2026-23839 |
| Severidad |
CRÍTICA (9.3) |
| Importancia para la empresa |
ALTA |
| Publicado |
lun, 19 ene 2026, 20:16 (hora de España) |
| Vendor |
leepeuker (desarrollador de Movary) |
| Producto Afectado |
Movary (aplicación web para seguimiento de películas) |
| Versiones Afectadas |
versiones anteriores a 0.70.0 |
| Exploit Públicos |
No se ha confirmado |
| Referencia |
Github Advisory |
| Descripción |
Movary es una aplicación web para rastrear, calificar y explorar el historial de visualización de películas. Debido a una validación insuficiente de entradas, atacantes pueden ejecutar cargas útiles de cross-site scripting (XSS) en la versión afectada mediante el parámetro vulnerable `?categoryUpdated=`. La versión 0.70.0 corrige la vulnerabilidad. |
| Estrategia |
Actualizar de inmediato Movary a la versión 0.70.0 o superior donde se corrige esta validación. Además, implementar controles de saneamiento y escape de entradas en los parámetros de URL para prevenir posibles vectores XSS futuros. Monitorizar actividad sospechosa que pueda indicar explotación activa. |
| CVE |
CVE-2026-23840 |
| Severidad |
CRITICAL (9.3) |
| Importancia para la empresa |
ALTA |
| Publicado |
lun, 19 ene 2026, 20:16 (hora de España) |
| Vendor |
leepeuker |
| Producto |
Movary |
| Versiones |
versiones anteriores a 0.70.0 |
| Exploit Públicos |
No confirmados |
| Referencia |
GitHub advisory |
| Descripción |
Movary es una aplicación web para rastrear, calificar y explorar tu historial de películas vistas. Debido a una validación insuficiente de entradas, los atacantes pueden desencadenar cargas útiles de cross-site scripting (XSS) en versiones anteriores a la 0.70.0. El parámetro vulnerable es ?categoryDeleted=. La versión 0.70.0 corrige el problema. |
| Estrategia |
Actualizar inmediatamente Movary a la versión 0.70.0 o superior. Validar y sanear estrictamente todos los parámetros de entrada, particularmente ?categoryDeleted=. Monitorizar la actividad en la aplicación para detectar intentos de explotación XSS. |
| CVE |
CVE-2026-23841 |
| Severidad |
CRITICAL (9.3) |
| Importancia para la empresa |
ALTA |
| Publicado |
lun, 19 ene 2026, 20:16 (hora de España) |
| Fabricante |
leepeuker |
| Producto Afectado |
Movary |
| Versiones Afectadas |
versiones anteriores a 0.70.0 |
| Exploit Públicos |
No confirmados |
| Referencia |
GitHub Movary 0.70.0 Release |
| Descripción |
Movary es una aplicación web para rastrear, valorar y explorar el historial de visualización de películas. Debido a una validación insuficiente de entradas, los atacantes pueden activar cargas útiles de cross-site scripting (XSS) usando el parámetro vulnerable ?categoryCreated= en versiones anteriores a 0.70.0. Este ataque permite la ejecución de código malicioso en el navegador de otros usuarios. |
| Estrategia |
Actualizar inmediatamente a la versión 0.70.0 o superior para eliminar la vulnerabilidad. Reforzar además la validación y saneamiento de todos los parámetros de entrada en la aplicación web para prevenir futuros ataques XSS. Monitorizar eventos anómalos en las interfaces web afectadas para detectar intentos de explotación. |
| CVE |
CVE-2026-23837 |
| Severidad |
CRITICAL (9.8) |
| Importancia para la empresa |
ALTA |
| Publicado |
lun, 19 ene 2026, 22:15 (hora de España) |
| Vendor |
Frankli Oxygen (MyTube) |
| Producto |
MyTube (Self-hosted video downloader and player) |
| Versiones |
1.7.65 y versiones potencialmente anteriores |
| Exploit Públicos |
No reportados |
| Referencia |
GitHub Commit Fix |
| Descripción |
MyTube es un programa autohospedado para descargar y reproducir vídeos de varios sitios web. Una vulnerabilidad en la versión 1.7.65 y posiblemente versiones anteriores permite a usuarios no autenticados saltarse la verificación obligatoria de autenticación en el middleware roleBasedAuthMiddleware. Si no se proporciona una cookie de autenticación (haciendo que req.user sea indefinido), la solicitud pasa incorrectamente a los manejadores posteriores. Esto impacta a todos los usuarios con loginEnabled: true y permite a atacantes acceder y modificar configuraciones de la aplicación vía /api/settings, cambiar contraseñas administrativas y de visitantes, y acceder a rutas protegidas basadas en este middleware. |
| Estrategia |
Actualizar urgentemente a la versión 1.7.66 o superior. Como mitigación temporal, restringir acceso a endpoints /api/ mediante firewall o proxy inverso (ej. Nginx) para permitir sólo IPs confiables. Si es posible, parchear manualmente roleBasedAuthMiddleware para que las solicitudes sin usuario autenticado generen error 401 en lugar de continuar. |
Enviar a un amigo:
Me gusta esto:
Me gusta Cargando...
Comentarios cerrados.
