Plattform
php
Komponente
campaignevents
Behoben in
1.44
1.45
1.46
1.43
CVE-2026-39935 describes a Cross-Site Scripting (XSS) vulnerability within the CampaignEvents Extension for Mediawiki. This flaw allows attackers to inject malicious scripts into web pages, potentially compromising user accounts and sensitive data. The vulnerability impacts versions 0.0.0 through 1.45 of the extension, and a fix is available in version 1.46.
CVE-2026-39935 betrifft die CampaignEvents-Erweiterung für Mediawiki und ermöglicht einen Cross-Site Scripting (XSS)-Angriff aufgrund einer unzureichenden Neutralisierung von Eingaben während der Webseitengenerierung. Ein Angreifer könnte bösartigen Code injizieren, der im Browser eines Benutzers ausgeführt wird, wodurch möglicherweise dessen Sitzung kompromittiert, sensible Informationen (wie Cookies) gestohlen oder er auf bösartige Websites umgeleitet wird. Der Einfluss ist erheblich, insbesondere für Mediawiki-Seiten mit einer großen Benutzerbasis, da die CampaignEvents-Erweiterung verwendet werden könnte, um ein breites Publikum anzugreifen. Die Schwachstelle wurde nur im 'master'-Branch behoben, was bedeutet, dass Installationen, die nicht auf diesen Branch aktualisiert wurden, anfällig sind. Das Anwenden des Updates ist entscheidend, um das Risiko zu mindern.
Die XSS-Schwachstelle in der CampaignEvents-Erweiterung für Mediawiki kann ausgenutzt werden, indem bösartiger JavaScript-Code über Eingabefelder injiziert wird, die nicht ordnungsgemäß bereinigt werden. Ein Angreifer könnte dies nutzen, um beliebigen Code im Kontext des Browsers des Opfers auszuführen. Der Erfolg der Ausnutzung hängt von der Fähigkeit des Angreifers ab, die auf der Webseite angezeigte Eingabe zu kontrollieren. Dies könnte durch die Manipulation von URL-Parametern, die Code-Injektion in Formulare oder die Ausnutzung anderer Schwachstellen auf der Mediawiki-Seite erreicht werden. Da die Korrektur nur im 'master'-Branch verfügbar ist, sind Installationen auf älteren Versionen besonders anfällig.
Mediawiki installations utilizing the CampaignEvents Extension, particularly those running vulnerable versions (0.0.0–1.45), are at risk. Shared hosting environments where multiple Mediawiki instances share the same server are especially vulnerable, as a compromise of one instance could potentially impact others. Organizations relying on Mediawiki for internal communication or collaboration should prioritize patching.
• php / web:
grep -r 'CampaignEvents Extension' /var/www/mediawiki/extensions/• php / web: Check for modified files in the CampaignEvents Extension directory that are not part of the official release. • php / web: Review Mediawiki access logs for suspicious requests containing potentially malicious JavaScript code. • php / web: Monitor for unusual user activity, such as unexpected redirects or changes to user profiles.
disclosure
Exploit-Status
EPSS
0.06% (19% Perzentil)
CISA SSVC
Die primäre Abmilderung für CVE-2026-39935 ist die Aktualisierung der CampaignEvents-Erweiterung auf Version 1.46 oder höher. Diese Version enthält die notwendige Korrektur, um Eingaben zu neutralisieren und den XSS-Angriff zu verhindern. Wenn ein Update nicht sofort möglich ist, sollten Sie zusätzliche Sicherheitsmaßnahmen in Betracht ziehen, wie z. B. die Validierung und Bereinigung aller Benutzereingaben, bevor sie auf der Webseite angezeigt werden. Überprüfen und stärken Sie außerdem die Sicherheitspolitik Ihrer Mediawiki-Seite, einschließlich der Implementierung einer Content Security Policy (CSP), um die Quellen von Inhalten einzuschränken, die vom Browser geladen werden können. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice la extensión CampaignEvents a la versión 1.46 o superior para mitigar la vulnerabilidad XSS. Asegúrese de realizar una copia de seguridad de su wiki antes de actualizar. Esta corrección solo está disponible en la rama 'master'.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Wenn Sie die CampaignEvents-Erweiterung verwenden und nicht auf Version 1.46 oder höher aktualisiert haben, ist Ihre Seite anfällig.
Der 'master'-Branch ist der Hauptentwicklungs-Branch der CampaignEvents-Erweiterung. Die neuesten Updates werden auf diesem Branch veröffentlicht.
Eine CSP ist eine zusätzliche Sicherheitsebene, die es Website-Administratoren ermöglicht, die Quellen von Inhalten zu kontrollieren, die der Browser laden kann, wodurch das Risiko von XSS-Angriffen reduziert wird.
Sie finden weitere Informationen zu CVE-2026-39935 in Schwachstellendatenbanken wie der National Vulnerability Database (NVD).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.