CVE-2026-23840 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Movary 影评程序存在 **XSS（跨站脚本）** 漏洞。 💥 **后果**：攻击者可注入恶意脚本，窃取用户数据或劫持会话。

🔍 **CWE**：CWE-20（输入验证不足）。 📍 **缺陷点**：`categoryDeleted` 参数未做严格过滤，直接渲染导致脚本执行。

📦 **产品**：Movary（Lee Peuker 开发）。 ⚠️ **版本**：**0.70.0 之前**的所有版本均受影响。

🕵️ **权限**：需用户交互（UI:R）。 📊 **数据**：可读取敏感信息（C:H）并篡改页面内容（I:H），影响范围大。

🚪 **门槛**：中等。 🔑 **条件**：无需认证（PR:N），但需受害者点击恶意链接或交互（UI:R）。

💣 **Exp**：目前 **无** 公开 PoC 或现成利用代码。 🌍 **在野**：暂无在野利用报告。

🔎 **自查**：检查 URL 或请求中是否包含 `categoryDeleted` 参数。 🛠️ **工具**：使用 XSS 扫描器检测该参数是否被正确转义。

✅ **补丁**：已修复。 📥 **升级**：升级至 **v0.70.0** 或更高版本即可解决。

🛡️ **规避**：若无法升级，需手动审查 `settings-account-location.js` 代码。 🔒 **措施**：对 `categoryDeleted` 输入进行严格的 HTML 实体编码或过滤。

⚡ **优先级**：**高**。 📢 **建议**：CVSS 评分高（C:H/I:H），建议立即升级至 v0.70.0 以消除风险。