Plattform
php
Komponente
yeswiki/yeswiki
Behoben in
4.6.1
4.6.0
CVE-2026-34598 describes a stored Cross-Site Scripting (XSS) vulnerability affecting YesWiki. This flaw allows an attacker to inject malicious JavaScript code into the form title field, which is then stored in the database and executed when a user visits the affected page. This can lead to session hijacking or other malicious activities. This affects YesWiki versions prior to 4.6.0. The vulnerability is fixed in version 4.6.0.
CVE-2026-34598 in YesWiki stellt eine gespeicherte und blinde Cross-Site Scripting (XSS)-Schwachstelle dar. Ein Angreifer kann bösartigen JavaScript-Code in das Formular-Titel-Feld ohne Authentifizierung injizieren. Dieser Code wird in der Backend-Datenbank gespeichert und im Browser jedes Benutzers ausgeführt, der die betroffene Seite besucht. Das Fehlen einer Authentifizierungsanforderung macht diese Schwachstelle besonders besorgniserregend, da sie es nicht autorisierten Akteuren ermöglicht, die Sicherheit von YesWiki zu kompromittieren und potenziell sensible Informationen zu stehlen oder Aktionen im Namen von Benutzern durchzuführen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Seite in YesWiki mit einem speziell gestalteten Formular-Titel erstellt, der bösartigen JavaScript-Code enthält. Wenn ein anderer Benutzer diese Seite besucht, wird der JavaScript-Code in seinem Browser ausgeführt, wodurch der Angreifer Cookies stehlen, den Benutzer auf eine bösartige Website umleiten oder andere bösartige Aktionen durchführen kann. Die „blinde“ Natur des Angriffs bedeutet, dass der Angreifer nicht die Antwort des Servers sehen muss, um die Codeausführung zu bestätigen, was die Ausnutzung vereinfacht.
YesWiki installations running versions 4.5.5 and earlier are at direct risk. Shared hosting environments that utilize YesWiki are particularly vulnerable, as a compromised account on one site could potentially be used to inject malicious code affecting other sites on the same server. Organizations relying on YesWiki for internal documentation or knowledge management should prioritize patching.
• php: Examine YesWiki logs for unusual form submissions containing suspicious characters or JavaScript code. Use grep to search for patterns like <script or javascript: within the form title field.
grep -i 'javascript:|\<script' /var/log/yeswiki/access.log• generic web: Check YesWiki instance for exposed form title fields. Attempt to inject simple XSS payloads (e.g., <script>alert(1)</script>) and observe if the payload executes.
curl -X POST -d "form_title=<script>alert(1)</script>" http://your-yeswiki-instance/index.php/Special:FormEdit• generic web: Review response headers for any signs of XSS filtering or sanitization. Lack of filtering indicates a potential vulnerability.
disclosure
Exploit-Status
EPSS
0.07% (22% Perzentil)
CISA SSVC
Die empfohlene Lösung ist das Upgrade von YesWiki auf Version 4.6.0 oder höher. Diese Version enthält eine Korrektur für die XSS-Schwachstelle. In der Zwischenzeit wird empfohlen, eine strenge Eingabevalidierung und -bereinigung für alle Benutzereingaben, insbesondere im Formular-Titel-Feld, durchzuführen. Dies umfasst die Verwendung von Whitelists, um nur sichere Zeichen zuzulassen, und das Kodieren aller potenziell gefährlichen Zeichen. Darüber hinaus wird empfohlen, die Anwendung auf verdächtige Aktivitäten zu überwachen und eine Content Security Policy (CSP) zu implementieren, um die Auswirkungen potenzieller XSS-Angriffe zu mildern.
Actualice YesWiki a la versión 4.6.0 o superior. Esta versión corrige la vulnerabilidad XSS persistente. La actualización se puede realizar a través del panel de administración o descargando la última versión del sitio web oficial y reemplazando los archivos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Diese Schwachstelle ist gefährlich, weil sie es Angreifern ermöglicht, JavaScript-Code in den Browsern von Benutzern auszuführen, was zum Diebstahl sensibler Informationen oder zur Kontrolle des Benutzerkontos führen kann.
Wenn Sie YesWiki verwenden, sollten Sie so schnell wie möglich auf Version 4.6.0 oder höher aktualisieren.
In der Zwischenzeit können Sie eine strenge Eingabevalidierung und -bereinigung implementieren und eine Content Security Policy (CSP) implementieren.
Der beste Weg, um Ihre Website vor XSS-Angriffen zu schützen, ist die Validierung und Bereinigung aller Benutzereingaben, die Verwendung von Whitelists, das Kodieren potenziell gefährlicher Zeichen und die Implementierung einer Content Security Policy (CSP).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.