Plateforme
php
Composant
globalwatchlist
Corrigé dans
1.45
1.45
1.45
1.43
CVE-2026-39933 represents a Cross-Site Scripting (XSS) vulnerability discovered within the MediaWiki GlobalWatchlist Extension. This flaw enables attackers to inject malicious scripts into web pages viewed by other users, potentially leading to session hijacking or defacement. The vulnerability impacts MediaWiki installations utilizing the GlobalWatchlist Extension versions 1.43 through 1.45. The issue has been resolved in the master branch and released for versions 1.43, 1.44, and 1.45.
La vulnérabilité CVE-2026-39933 dans l'extension GlobalWatchlist de MediaWiki représente un risque de Cross-Site Scripting (XSS). Cela signifie qu'un attaquant peut injecter du code malveillant dans les pages web de MediaWiki, qui s'exécuterait alors dans les navigateurs des utilisateurs. Une exploitation réussie pourrait entraîner le vol d'informations sensibles, telles que les cookies de session, ou la redirection des utilisateurs vers des sites web frauduleux. L'impact est particulièrement grave si l'instance MediaWiki gère des informations sensibles ou si elle a une large base d'utilisateurs. L'extension GlobalWatchlist, utilisée pour gérer les listes de suivi globales, est le point d'entrée de cette attaque. La gravité de la vulnérabilité dépend de la configuration spécifique de l'instance MediaWiki et des autorisations des utilisateurs.
La vulnérabilité XSS dans l'extension GlobalWatchlist découle d'une neutralisation incorrecte des entrées utilisateur lors de la génération de pages web. Un attaquant pourrait exploiter cela en injectant du code JavaScript malveillant dans des champs d'entrée de l'extension. Ce code s'exécuterait alors dans le navigateur de tout utilisateur visitant la page affectée. Le contexte d'exploitation le plus probable serait par le biais de la manipulation de paramètres dans les URL ou par l'injection de code dans des champs de texte affichés sur la page. Le succès de l'exploitation dépend de la capacité de l'attaquant à tromper les utilisateurs pour qu'ils visitent la page malveillante ou interagissent avec le contenu compromis.
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
La solution à CVE-2026-39933 consiste à mettre à jour l'extension GlobalWatchlist à la version 1.45 ou supérieure. Les versions 1.43 et 1.44 ont également été corrigées. La mise à jour peut être effectuée via le gestionnaire d'extensions de MediaWiki. Il est crucial de faire une sauvegarde complète du site avant d'appliquer toute mise à jour. De plus, examinez la configuration de l'extension GlobalWatchlist pour vous assurer que les meilleures pratiques de sécurité sont utilisées. Surveiller les journaux du serveur à la recherche d'activités suspectes peut également aider à détecter et à prévenir les attaques. L'application de correctifs de sécurité est une pratique fondamentale pour maintenir la sécurité d'un système.
Actualice la extensión GlobalWatchlist a la versión 1.45 o superior. Esta versión corrige la vulnerabilidad de XSS al neutralizar correctamente la entrada durante la generación de la página web. Asegúrese de realizar una copia de seguridad de su instalación de MediaWiki antes de aplicar la actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Si vous utilisez l'extension GlobalWatchlist dans une version antérieure à la 1.45, vous êtes probablement affecté. Vérifiez les journaux de votre serveur à la recherche d'activités suspectes.
Isolez le site affecté, sauvegardez vos données et appliquez la mise à jour de sécurité dès que possible. Envisagez de consulter un expert en sécurité.
Non, la mise à jour de MediaWiki seule ne résout pas ce problème. Vous devez spécifiquement mettre à jour l'extension GlobalWatchlist.
Vous pouvez trouver plus d'informations sur CVE-2026-39933 dans les bases de données de vulnérabilités telles que la National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.