CVE-2026-40349 in movaryinformación

Resumen

por VulDB • 2026-05-13

Movary es una aplicación web autoalojada para realizar un seguimiento y valorar las películas vistas por un usuario. Antes de la versión 0.71.1, un usuario autenticado ordinario puede escalar sus propios privilegios a administrador enviando `isAdmin=true` a `PUT /settings/users/{userId}` para su propio ID de usuario. El punto de conexión está diseñado para permitir que un usuario edite su propio perfil, pero actualiza el campo sensible `isAdmin` sin ninguna comprobación de autorización exclusiva para administradores. La versión 0.71.1 corrige el problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-11

Divulgación

2026-04-18

Moderación

aceptado

Artículo

VDB-358189

CPE

listo

CWE

CWE-862 (confirmado)

CVSS

8.8 (CNA)

EPSS

0.00016

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40349
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40349
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40349/

◂ Anterior Visión De Conjunto Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!