Plattform
php
Komponente
score
Behoben in
1.45
1.45
1.45
1.43
CVE-2026-39936 represents a Cross-Site Scripting (XSS) vulnerability discovered within the Mediawiki - Score Extension. This flaw allows attackers to inject malicious scripts into web pages viewed by other users, potentially leading to session hijacking or defacement. The vulnerability impacts Mediawiki - Score Extension versions 1.43 through 1.45. A fix has been implemented in the master branch and released for versions 1.43, 1.44, and 1.45.
Die CVE-2026-39936 in der 'Score'-Erweiterung von MediaWiki der Wikimedia Foundation stellt eine Cross-Site Scripting (XSS)-Schwachstelle dar. Dies ermöglicht einem Angreifer, bösartigen Code in Webseiten einzuschleusen, die von MediaWiki generiert werden, und diesen Code im Browser von Benutzern auszuführen, die diese Seiten besuchen. Der potenzielle Schaden umfasst den Diebstahl von Sitzungscookies, die Weiterleitung auf bösartige Websites, die Manipulation von Inhalten und die Ausführung von Aktionen im Namen des betroffenen Benutzers. Die Schwere dieses XSS hängt von der Sensibilität der Informationen ab, auf die Benutzer in MediaWiki zugreifen und diese teilen. Die Schwachstelle betrifft bestimmte Versionen, daher sind zeitnahe Updates unerlässlich.
Die Schwachstelle ergibt sich aus einer unsachgemäßen Neutralisierung von Eingaben während der Webseitengenerierung. Ein Angreifer könnte diese Schwachstelle ausnutzen, um bösartigen JavaScript-Code in Eingabeparameter einzuschleusen, die nicht ordnungsgemäß bereinigt werden. Dieser Code würde im Kontext des Benutzers ausgeführt, der die Seite anzeigt, wodurch der Angreifer unautorisierte Aktionen ausführen könnte. Der Erfolg der Ausnutzung hängt von der Fähigkeit des Angreifers ab, die zur Generierung der Seite verwendeten Eingaben zu kontrollieren, und vom Fehlen angemessener Sicherheitsmaßnahmen, um die Code-Injektion zu verhindern. Die 'Score'-Erweiterung ist aufgrund ihrer Handhabung von benutzer bereitgestellten Daten besonders anfällig.
Exploit-Status
EPSS
0.06% (19% Perzentil)
CISA SSVC
Die Wikimedia Foundation hat diese Schwachstelle im 'master'-Branch und in den Release-Branches für MediaWiki-Versionen 1.43, 1.44 und 1.45 behoben. Administratoren von MediaWiki werden dringend empfohlen, ihre Installationen so schnell wie möglich auf eine dieser gepatchten Versionen zu aktualisieren. Um das Risiko vor dem Update zu minimieren, können zusätzliche Sicherheitsmaßnahmen implementiert werden, wie z. B. die strenge Validierung von Benutzereingaben und die Implementierung einer Content Security Policy (CSP). Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Das Update ist die effektivste und empfohlene Lösung.
Actualice la extensión Score a la versión 1.45 o superior. Esta versión corrige la vulnerabilidad de XSS al neutralizar correctamente la entrada durante la generación de la página web. Asegúrese de realizar una copia de seguridad de su instalación de MediaWiki antes de aplicar la actualización.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Ein Angreifer könnte vertrauliche Informationen stehlen, Benutzer auf bösartige Websites umleiten oder den Seiteninhalt verändern.
Die Versionen 1.43, 1.44 und 1.45 sind anfällig. Der 'master'-Branch ist bereits gepatcht.
Implementieren Sie zusätzliche Sicherheitsmaßnahmen wie die Validierung von Eingaben und CSP und überwachen Sie die Serverprotokolle.
Konsultieren Sie die offizielle MediaWiki-Dokumentation und die Versionshinweise des Updates.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.